Escanear gratis

Esta página aún no ha sido traducida a tu idioma. Mostrando contenido en inglés mientras trabajamos en ello.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

CRITICALCVE-2026-32760CVSS 9.5

CVE-2026-32760: Admin Account Creation in Filebrowser v2

Plataforma

go

Componente

github.com/filebrowser/filebrowser/v2

Corregido en

2.62.0

Ver en NVD
Guardar
Traduciendo a tu idioma…

CVE-2026-32760 is a critical vulnerability affecting Filebrowser v2, allowing unauthenticated users to register as full administrators. This occurs when self-registration is enabled (signup = true) and the default user permissions grant administrative privileges. The vulnerability impacts versions prior to 2.62.0 and can be resolved by upgrading to the patched version.

Go

Detecta esta CVE en tu proyecto

Sube tu archivo go.mod y te decimos al instante si estás afectado.

Subir go.mod

Impacto y Escenarios de Ataque

La vulnerabilidad CVE-2026-32760 en filebrowser permite a cualquier visitante no autenticado registrarse como administrador completo si la función de auto-registro (signup = true) está habilitada y las configuraciones de usuario predeterminadas tienen perm.admin = true. El controlador de registro aplica ciegamente todas las configuraciones predeterminadas, incluyendo Perm.Admin, al nuevo usuario sin ninguna protección del lado del servidor que elimine el rol de administrador de las cuentas auto-registradas. Esto permite a un atacante obtener acceso administrativo completo al sistema filebrowser sin necesidad de credenciales válidas, comprometiendo la seguridad y la confidencialidad de los archivos almacenados.

Contexto de Explotación

Un atacante puede explotar esta vulnerabilidad accediendo a la interfaz de registro de filebrowser (normalmente a través de una URL como /signup) cuando el auto-registro está habilitado. Al proporcionar un nombre de usuario válido, el atacante puede crear una cuenta de administrador sin necesidad de autenticación previa. La facilidad de explotación, combinada con el impacto potencial de acceso administrativo, hace que esta vulnerabilidad sea de alta gravedad.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Informes1 informe de amenaza

EPSS

0.02% (4% percentil)

CISA SSVC

Explotaciónpoc
Automatizableyes
Impacto Técnicototal

Clasificación de Debilidad (CWE)

CWE-269CWE-284

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2026-32760 es actualizar filebrowser a la versión 2.62.0 o superior. Esta versión corrige la vulnerabilidad al implementar una validación del lado del servidor para evitar que las cuentas auto-registradas reciban privilegios de administrador. Como medida adicional, desactive la función de auto-registro (signup = false) si no es absolutamente necesaria. Si el auto-registro es requerido, revise cuidadosamente las configuraciones de usuario predeterminadas para asegurarse de que perm.admin esté configurado en 'false'. Monitoree los registros del sistema en busca de intentos de registro sospechosos.

Cómo corregirlotraduciendo…

Actualice File Browser a la versión 2.62.0 o superior. Esta versión corrige la vulnerabilidad que permite a usuarios no autenticados registrarse como administradores si la auto-registración está habilitada y los permisos por defecto incluyen privilegios de administrador. Desactive la auto-registración si no es necesaria.

Preguntas frecuentes

¿Qué es CVE-2026-32760 en github.com/filebrowser/filebrowser/v2?

filebrowser es un navegador de archivos web de código abierto que permite a los usuarios administrar archivos en servidores remotos a través de una interfaz web.

¿Estoy afectado/a por CVE-2026-32760 en github.com/filebrowser/filebrowser/v2?

Si está utilizando una versión de filebrowser anterior a 2.62.0 y tiene habilitada la función de auto-registro (signup = true) con perm.admin = true en las configuraciones predeterminadas, es probable que esté afectado.

¿Cómo soluciono CVE-2026-32760 en github.com/filebrowser/filebrowser/v2?

Como medida temporal, desactive la función de auto-registro (signup = false) o configure perm.admin a 'false' en las configuraciones de usuario predeterminadas.

¿Está siendo explotado activamente CVE-2026-32760?

Actualmente no hay herramientas específicas para detectar esta vulnerabilidad, pero puede revisar los registros del sistema en busca de intentos de registro sospechosos.

¿Dónde encuentro el aviso oficial de github.com/filebrowser/filebrowser/v2 para CVE-2026-32760?

Puede encontrar más información sobre esta vulnerabilidad en la entrada de CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-32760

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
Go

Detecta esta CVE en tu proyecto

Sube tu archivo go.mod y te decimos al instante si estás afectado.

Subir go.mod
liveescaneo gratuito

Escanea tu proyecto Go ahora — sin cuenta

Sube tu go.mod y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...