Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-32760: Admin Account Creation in Filebrowser v2
Plattform
go
Komponente
github.com/filebrowser/filebrowser/v2
Behoben in
2.62.0
CVE-2026-32760 is a critical vulnerability affecting Filebrowser v2, allowing unauthenticated users to register as full administrators. This occurs when self-registration is enabled (signup = true) and the default user permissions grant administrative privileges. The vulnerability impacts versions prior to 2.62.0 and can be resolved by upgrading to the patched version.
Erkenne diese CVE in deinem Projekt
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.
Auswirkungen und Angriffsszenarien
Die CVE-2026-32760-Schwachstelle in filebrowser ermöglicht es jedem nicht authentifizierten Besucher, sich als vollständiger Administrator zu registrieren, wenn die Selbstregistrierung (signup = true) aktiviert ist und die Standardbenutzerberechtigungen perm.admin = true haben. Der Registrierungshandler wendet blind alle Standardeinstellungen – einschließlich Perm.Admin – auf den neuen Benutzer an, ohne serverseitige Schutzmaßnahmen, die die Administratorrechte aus selbst registrierten Konten entfernen. Dies ermöglicht einem Angreifer, vollständigen Administratorzugriff auf das filebrowser-System zu erhalten, ohne gültige Anmeldedaten zu benötigen, wodurch die Sicherheit und Vertraulichkeit der gespeicherten Dateien gefährdet werden.
Ausnutzungskontext
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er auf die Registrierungs-Schnittstelle von filebrowser zugreift (normalerweise über eine URL wie /signup), wenn die Selbstregistrierung aktiviert ist. Durch die Angabe eines gültigen Benutzernamens kann der Angreifer ein Administratorkonto erstellen, ohne vorherige Authentifizierung zu benötigen. Die einfache Ausnutzbarkeit, kombiniert mit dem potenziellen Einfluss des Administratorzugriffs, macht diese Schwachstelle hochkritisch.
Bedrohungsanalyse
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workarounds
Die primäre Abhilfemaßnahme für CVE-2026-32760 ist die Aktualisierung von filebrowser auf Version 2.62.0 oder höher. Diese Version behebt die Schwachstelle, indem sie eine serverseitige Validierung implementiert, um zu verhindern, dass selbst registrierte Konten Administratorrechte erhalten. Als zusätzliche Maßnahme deaktivieren Sie die Funktion zur Selbstregistrierung (signup = false), wenn sie nicht unbedingt erforderlich ist. Wenn die Selbstregistrierung erforderlich ist, überprüfen Sie die Standardbenutzereinstellungen sorgfältig, um sicherzustellen, dass perm.admin auf 'false' eingestellt ist. Überwachen Sie die Systemprotokolle auf verdächtige Registrierungsversuche.
So behebenwird übersetzt…
Actualice File Browser a la versión 2.62.0 o superior. Esta versión corrige la vulnerabilidad que permite a usuarios no autenticados registrarse como administradores si la auto-registración está habilitada y los permisos por defecto incluyen privilegios de administrador. Desactive la auto-registración si no es necesaria.
Häufig gestellte Fragen
Was ist CVE-2026-32760 in github.com/filebrowser/filebrowser/v2?
filebrowser ist ein Open-Source-Web-Dateibrowser, mit dem Benutzer Dateien auf Remote-Servern über eine Webschnittstelle verwalten können.
Bin ich von CVE-2026-32760 in github.com/filebrowser/filebrowser/v2 betroffen?
Wenn Sie eine Version von filebrowser vor 2.62.0 verwenden und die Selbstregistrierung (signup = true) mit perm.admin = true in den Standardeinstellungen aktiviert haben, sind Sie wahrscheinlich betroffen.
Wie behebe ich CVE-2026-32760 in github.com/filebrowser/filebrowser/v2?
Als vorübergehende Maßnahme deaktivieren Sie die Funktion zur Selbstregistrierung (signup = false) oder konfigurieren Sie perm.admin auf 'false' in den Standardbenutzereinstellungen.
Wird CVE-2026-32760 aktiv ausgenutzt?
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen, aber Sie können die Systemprotokolle auf verdächtige Registrierungsversuche überprüfen.
Wo finde ich den offiziellen github.com/filebrowser/filebrowser/v2-Hinweis für CVE-2026-32760?
Sie finden weitere Informationen zu dieser Schwachstelle im CVE-Eintrag: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-32760
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Erkenne diese CVE in deinem Projekt
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.
Scannen Sie jetzt Ihr Go-Projekt – kein Konto
Laden Sie Ihr go.mod hoch und erhalten Sie den Schwachstellenbericht sofort. Kein Konto. Das Hochladen der Datei ist nur der Anfang: mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack-/E-Mail-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...