¿Qué es File Browser?

File Browser es un gestor de archivos basado en la web que proporciona una interfaz fácil de usar para navegar, subir y gestionar archivos en un servidor. A menudo se utiliza para compartir archivos o proporcionar una interfaz web sencilla para acceder a los archivos almacenados en un servidor.

¿Cuál es el impacto de CVE-2026-32760?

CVE-2026-32760 permite a los usuarios no autenticados crear cuentas de administrador si el auto-registro está habilitado y los permisos por defecto incluyen privilegios de administrador. Esto puede conducir a la completa puesta en peligro del sistema, ya que los atacantes obtienen el control total sobre los archivos, los usuarios y la configuración del servidor.

¿Cómo soluciono las vulnerabilidades en File Browser?

Para solucionar las vulnerabilidades identificadas, actualice su instalación de File Browser a la última versión utilizando el comando `go get -u github.com/filebrowser/filebrowser/v2@latest`. Esto aplicará los parches necesarios para solucionar los fallos de seguridad.

¿Qué es XSS almacenado?

Cross-Site Scripting (XSS) almacenado es un tipo de vulnerabilidad de seguridad en la que se inyecta código malicioso en un sitio web y se almacena en el servidor. Este código se ejecuta cada vez que un usuario visita la página afectada, lo que puede provocar el robo de datos u otras actividades maliciosas.

File Browser: Múltiples vulnerabilidades parcheadas (CVE-2026-32760, etc.)

Se han identificado múltiples vulnerabilidades en File Browser, incluyendo un fallo crítico que permite a los usuarios no autenticados crear cuentas de administrador (CVE-2026-32760) y una vulnerabilidad XSS almacenada (CVE-2026-34530). Estas vulnerabilidades podrían conducir a la completa puesta en peligro del sistema. Los parches están disponibles; se aconseja a los usuarios que actualicen inmediatamente.

Estas vulnerabilidades varían en gravedad, siendo la más crítica la que permite la toma de control completa del sistema.

¿Qué es Github.com/filebrowser/filebrowser/v2?

Github.com/filebrowser/filebrowser/v2 es un componente escrito en Go que proporciona una interfaz de gestión de archivos basada en la web. Permite a los usuarios navegar, subir y gestionar archivos en un servidor. La aplicación se utiliza a menudo para compartir archivos o proporcionar una interfaz web sencilla para acceder a los archivos almacenados en un servidor. Para obtener más información, busque todos los CVE de github.com/filebrowser/filebrowser/v2.

CVE-2026-32760: El registro de File Browser otorga privilegios de administrador

CVSS9.5

Versiones afectadasEsta vulnerabilidad afecta a las instancias de File Browser donde el auto-registro (signup = true) está habilitado y los permisos de usuario por defecto tienen perm.admin = true.

Crítico: Ejecución de código remoto no autenticada.

La puntuación EPSS de 0,017 indica una baja probabilidad de explotación.

Cuando el auto-registro está habilitado y los permisos de usuario por defecto incluyen privilegios de administrador, cualquier visitante no autenticado puede registrar una cuenta de administrador completa. El gestor de registro aplica todos los ajustes por defecto, incluyendo los permisos de administrador, sin la debida validación del lado del servidor.

Cómo solucionar CVE-2026-32760 en Github.com/filebrowser/filebrowser/v2

Parchear ahora

1.Actualice su instalación de File Browser a la versión 2.62.0 o posterior.

Actualizar File Browser

go get -u github.com/filebrowser/filebrowser/v2@latest

Solución temporal: Desactive el auto-registro o asegúrese de que los permisos de usuario por defecto no incluyan privilegios de administrador.

NextGuard marca automáticamente CVE-2026-32760 si Github.com/filebrowser/filebrowser/v2 aparece en cualquiera de sus proyectos supervisados; no se requiere ninguna búsqueda manual.

CVE-2026-32759: Vulnerabilidad de activación del gancho de carga TUS de File Browser

CVSSN/A

Versiones afectadasEsta vulnerabilidad afecta a todas las implementaciones de File Browser que utilizan el punto final de carga TUS (`/api/tus`), especialmente aquellas con `enableExec = true`.

Gravedad no especificada.

La puntuación EPSS de 0,184 indica una probabilidad moderada de explotación.

El gestor de carga reanudable TUS analiza la cabecera `Upload-Length` como un entero de 64 bits con signo sin validar que el valor no sea negativo. Un valor negativo activa el gancho `after_upload` prematuramente, incluso con un archivo vacío.

Cómo solucionar CVE-2026-32759 en Github.com/filebrowser/filebrowser/v2

Parchear en 7 días

1.Actualice su instalación de File Browser a la última versión.
2.Alternativamente, desactive los ganchos exec en entornos no confiables.

Actualizar File Browser

go get -u github.com/filebrowser/filebrowser/v2@latest

Solución temporal: Desactive los ganchos exec (`enableExec = false`) para mitigar el riesgo de ejecución remota de comandos.

CVE-2026-32758: Omisión de la regla de acceso de File Browser a través del recorrido de la ruta

CVSS6.5

Versiones afectadasEsta vulnerabilidad afecta a los usuarios autenticados con permisos de Crear o Renombrar en las instancias de File Browser con reglas de denegación configuradas.

Medio: Acceso limitado a rutas restringidas.

La puntuación EPSS de 0,014 indica una baja probabilidad de explotación.

El `resourcePatchHandler` valida la ruta de destino con las reglas de acceso configuradas antes de limpiar la ruta. Esto permite a un usuario autenticado omitir las reglas de denegación incluyendo secuencias de recorrido de ruta `..` en el parámetro de destino.

Cómo solucionar CVE-2026-32758 en Github.com/filebrowser/filebrowser/v2

Parchear en 24h

1.Actualice su instalación de File Browser a la versión 2.62.0 o posterior.

Actualizar File Browser

go get -u github.com/filebrowser/filebrowser/v2@latest

CVE-2026-34530: File Browser Stored XSS a través de la inyección de marca

CVSS6.9

Versiones afectadasEsta vulnerabilidad afecta a todas las instalaciones de File Browser donde un administrador establece una carga útil maliciosa en el nombre de la marca.

Medio: XSS almacenado que afecta a todos los usuarios.

La puntuación EPSS de 0,057 indica una baja probabilidad de explotación.

La página de índice SPA en File Browser es vulnerable a Cross-site Scripting (XSS) almacenado a través de campos de marca controlados por el administrador. Un administrador que establece `branding.name` a una carga útil maliciosa inyecta JavaScript persistente que se ejecuta para TODOS los visitantes, incluyendo los usuarios no autenticados.

Cómo solucionar CVE-2026-34530 en Github.com/filebrowser/filebrowser/v2

Parchear ahora

1.Actualice su instalación de File Browser a la versión 2.62.2 o posterior.

Actualizar File Browser

go get -u github.com/filebrowser/filebrowser/v2@latest

Solución temporal: Absténgase de utilizar marcas personalizadas o sanee la entrada del nombre de la marca para evitar la inyección de scripts.

Manténgase a la vanguardia de las vulnerabilidades de go

Detecte y corrija de forma proactiva las vulnerabilidades en sus proyectos go. Comience a supervisar sus dependencias de go con NextGuard hoy mismo.

Comparar planes

Preguntas frecuentes

Se descubrieron múltiples vulnerabilidades en File Browser. Es crucial actualizar a la última versión para mitigar estos riesgos. ver todas las vulnerabilidades de go.

Temas relacionados

XSSPath TraversalPrivilege EscalationFile ManagementGo