Plataforma
go
Componente
github.com/filebrowser/filebrowser/v2
Corregido en
2.62.3
2.62.2
Se ha descubierto una vulnerabilidad de ejecución remota de código (RCE) en File Browser v2. Esta falla se produce porque el sistema no elimina adecuadamente los permisos de ejecución al crear nuevos usuarios a través del registro. Si el registro está habilitado y el permiso 'Execute' está configurado como 'true' en la plantilla de usuario predeterminada, un usuario no autenticado puede registrarse y obtener la capacidad de ejecutar comandos arbitrarios en el servidor. La vulnerabilidad afecta a versiones anteriores a 2.62.2 y se recomienda actualizar para mitigar el riesgo.
La vulnerabilidad de RCE en File Browser v2 permite a un atacante no autenticado obtener control sobre el servidor. Un atacante podría explotar esta falla registrándose en el sistema y aprovechando la configuración predeterminada que otorga permisos de ejecución. Esto podría resultar en la ejecución de comandos arbitrarios con los privilegios del usuario File Browser, lo que podría llevar a la exfiltración de datos sensibles, la modificación de archivos del sistema, la instalación de malware o incluso el control completo del servidor. El impacto potencial es significativo, especialmente en entornos donde File Browser se utiliza para almacenar o acceder a información confidencial.
La vulnerabilidad CVE-2026-34528 fue publicada el 2026-03-31. No se ha añadido a KEV en este momento. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas File Browser para detectar cualquier actividad sospechosa.
Estado del Exploit
EPSS
0.18% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34528 es actualizar File Browser a la versión 2.62.2 o superior, que corrige la vulnerabilidad. Si la actualización inmediata no es posible, deshabilitar el registro de usuarios es una medida temporal para reducir el riesgo. Además, se recomienda revisar la configuración de la plantilla de usuario predeterminada y asegurarse de que el permiso 'Execute' esté configurado como 'false'. Implementar un firewall de aplicaciones web (WAF) con reglas para bloquear solicitudes sospechosas relacionadas con el registro de usuarios también puede ayudar a mitigar el riesgo. Después de la actualización, confirme que el registro está deshabilitado o que la plantilla de usuario predeterminada no otorga permisos de ejecución.
Actualice File Browser a la versión 2.62.2 o posterior. Esta versión corrige la vulnerabilidad que permite a usuarios no autenticados ejecutar comandos arbitrarios en el servidor si el registro está habilitado y la ejecución está permitida en la plantilla de usuario predeterminada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34528 is a remote code execution vulnerability in File Browser v2. It allows unauthenticated users to execute commands if signup is enabled and the default user template has 'Execute=true'. This poses a significant security risk.
You are affected if you are running File Browser v2 prior to version 2.62.2 and have user signup enabled, especially if the default user template has 'Execute=true' set. Check your version and configuration immediately.
Upgrade File Browser to version 2.62.2 or later. As a temporary workaround, disable user signup or set 'Execute=false' in the default user template. Prioritize upgrading for the best protection.
While no widespread exploitation has been publicly reported yet, the vulnerability's ease of exploitation suggests a potential for active exploitation. Monitor your systems and apply the fix promptly.
Refer to the official File Browser GitHub repository and security advisories for the most up-to-date information and announcements regarding CVE-2026-34528: https://github.com/filebrowser/filebrowser/security/advisories
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.