Plataforma
php
Componente
filerise
Corregido en
3.8.1
Se ha identificado una vulnerabilidad de falta de autenticación en FileRise, un servidor WebDAV y gestor de archivos auto-alojado. Esta vulnerabilidad, presente en versiones anteriores a la 3.8.0, permite a usuarios no autenticados eliminar enlaces de compartición de archivos arbitrarios, lo que resulta en una denegación de servicio para el acceso compartido a los archivos. La vulnerabilidad se encuentra solucionada en la versión 3.8.0.
La vulnerabilidad reside en el endpoint /api/file/deleteShareLink.php, que carece de autenticación, autorización o validación CSRF. Un atacante, sin necesidad de credenciales, puede enviar una solicitud HTTP para eliminar cualquier enlace de compartición de archivos simplemente proporcionando el token de compartición. Esto impide que los usuarios legítimos accedan a los archivos compartidos, causando una interrupción del servicio. El impacto principal es la denegación de acceso a los archivos compartidos, aunque la falta de autenticación podría potencialmente ser explotada para otros fines si se combinara con otras vulnerabilidades.
Esta vulnerabilidad se publicó el 2026-03-20. No se ha reportado su explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La baja puntuación CVSS (3.7) indica una probabilidad de explotación relativamente baja, aunque la facilidad de explotación podría cambiar esa evaluación.
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar FileRise a la versión 3.8.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Aunque no existe una solución directa, se puede considerar restringir el acceso al endpoint /api/file/deleteShareLink.php a través de un firewall de aplicaciones web (WAF) o un proxy, bloqueando solicitudes no autenticadas. Después de la actualización, confirme que la funcionalidad de eliminación de enlaces de compartición requiere autenticación válida.
Actualice FileRise a la versión 3.8.0 o superior. Esta versión corrige la vulnerabilidad de eliminación de enlaces compartidos no autenticados. La actualización evitará que usuarios no autorizados eliminen enlaces compartidos, restaurando el acceso seguro a los archivos compartidos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33070 is a denial-of-service vulnerability in FileRise versions prior to 3.8.0. Unauthenticated users can delete file share links, disrupting shared file access.
You are affected if you are running FileRise version 3.8.0 or earlier. Upgrade to 3.8.0 to mitigate the vulnerability.
Upgrade FileRise to version 3.8.0. As a temporary workaround, restrict access to the /api/file/deleteShareLink.php endpoint using a WAF or proxy.
As of the publication date, there is no evidence of active exploitation of CVE-2026-33070 in the wild.
Refer to the official FileRise advisory for detailed information and updates regarding CVE-2026-33070.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.