Plattform
go
Komponente
github.com/filebrowser/filebrowser/v2
Behoben in
2.62.3
2.62.2
CVE-2026-34530 describes a stored Cross-Site Scripting (XSS) vulnerability in File Browser v2. This vulnerability allows an administrator to inject malicious JavaScript into the SPA index page via admin-controlled branding fields, leading to persistent script execution for all visitors. The vulnerability impacts versions prior to 2.62.2 and has been addressed with a patch.
CVE-2026-34530 in File Browser stellt ein erhebliches Risiko dar, da es sich um eine gespeicherte Cross-Site Scripting (XSS)-Schwachstelle in der SPA-Indexseite handelt. Ein bösartiger Administrator kann JavaScript-Code in das Feld branding.name injizieren, das direkt auf der Seite ohne ordnungsgemäße Bereinigung gerendert wird. Dies ermöglicht die Ausführung von Skripten für alle Besucher der Website, einschließlich nicht authentifizierter Benutzer, wodurch potenziell die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gefährdet werden. Der CVSS-Wert von 6.9 deutet auf ein moderat hohes Risiko hin, das eine sofortige Aufmerksamkeit erfordert, um eine Ausnutzung zu verhindern.
Die Schwachstelle wird durch die Manipulation des Feldes branding.name in der File Browser-Administrationskonfiguration ausgenutzt. Ein Angreifer mit Administratorzugriff kann eine bösartige JavaScript-Payload in dieses Feld injizieren. Beim Speichern der Konfiguration wird diese Payload gespeichert und jedes Mal ausgeführt, wenn ein Benutzer (authentifiziert oder nicht) auf die SPA-Indexseite zugreift. Die Payload kann verschiedene bösartige Aktionen durchführen, wie z. B. das Stehlen von Sitzungscookies, das Umleiten von Benutzern auf bösartige Websites oder das Ändern des Seiteninhalts.
File Browser installations where administrators have access to modify branding settings are at risk. This includes shared hosting environments where multiple users may share a single File Browser instance and one administrator could compromise the entire system. Legacy File Browser deployments running older, unpatched versions are particularly vulnerable.
• linux / server: Examine File Browser configuration files for suspicious JavaScript code in the branding.name field. Use grep to search for potentially malicious payloads.
grep -r 'alert(' /path/to/filebrowser/config.yml• generic web: Monitor File Browser access logs for requests to modify the branding configuration. Look for unusual user agents or IP addresses.
curl -I http://your-filebrowser-instance/branding• wordpress / composer / npm: (Not applicable, as File Browser is not a WordPress plugin or Node.js package) • database (mysql, redis, mongodb, postgresql): (Not applicable, as File Browser does not directly store branding information in a database) • windows / supply-chain: (Not applicable, as File Browser is not a Windows application)
disclosure
Exploit-Status
EPSS
0.06% (19% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist die Aktualisierung von File Browser auf Version 2.62.2 oder höher, die diese Schwachstelle behebt. Vor der Aktualisierung wird empfohlen, ein vollständiges Backup der File Browser-Konfiguration und -Daten zu erstellen. Wenn eine sofortige Aktualisierung nicht möglich ist, kann eine vorübergehende Abschwächung implementiert werden, indem die in dem Feld branding.name zulässigen Zeichen auf einen sicheren Satz beschränkt werden, obwohl dies die gewünschte Funktionalität beeinträchtigen kann. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren. Es wird auch empfohlen, die Sicherheitsrichtlinien der Systemadministration zu überprüfen und zu stärken.
Aktualisieren Sie File Browser auf Version 2.62.2 oder höher. Diese Version behebt die Cross-Site Scripting (XSS) gespeicherte Schwachstelle. Das Update verhindert, dass ein böswilliger Administrator persistierenden JavaScript-Code injiziert, der für alle Besucher ausgeführt wird.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Gespeicherter XSS (oder persistenter XSS) tritt auf, wenn ein Angreifer bösartigen Code in eine Website injiziert, der dann für andere Benutzer ausgeführt wird, die die Seite besuchen. In diesem Fall wird der Code in der File Browser-Datenbank gespeichert.
Wenn Sie nicht sofort aktualisieren können, versuchen Sie, die in dem Feld branding.name zulässigen Zeichen auf einen sicheren Satz zu beschränken. Dies ist jedoch eine vorübergehende Lösung, und die Aktualisierung ist die beste Option.
Überprüfen Sie die Serverprotokolle auf ungewöhnliche Aktivitäten, wie z. B. verdächtige Anfragen oder unerwartete Konfigurationsänderungen. Überwachen Sie außerdem das Benutzerverhalten auf ungewöhnliche Aktivitäten.
Ja, es ist entscheidend, auf Version 2.62.2 oder höher zu aktualisieren, um das Risiko einer Ausnutzung zu mindern. Die Schwachstelle betrifft alle Besucher der Website.
Es gibt Web-Vulnerability-Scanner, die gespeicherten XSS erkennen können. Darüber hinaus kann eine manuelle Überprüfung der Administrationskonfiguration helfen, das Problem zu identifizieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.