Plateforme
other
Composant
filerise
Corrigé dans
1.0.2
Une vulnérabilité de type Path Traversal a été découverte dans FileRise, un serveur WebDAV auto-hébergé et gestionnaire de fichiers web. Cette faille, présente dans les versions de 1.0.1 à 3.10.0, permet à un utilisateur authentifié disposant des permissions d'upload d'écrire des fichiers dans des répertoires arbitraires sur le serveur. La mise à jour vers la version 3.10.0 corrige ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'écrire des fichiers à des emplacements non autorisés sur le système de fichiers du serveur FileRise. Cela peut conduire à la prise de contrôle du serveur, à la compromission de données sensibles, ou à l'exécution de code malveillant. L'attaquant peut également supprimer des répertoires, ce qui peut entraîner une perte de données et une perturbation du service. La capacité à sonder l'existence de fichiers et de répertoires permet à l'attaquant de cartographier le système de fichiers et d'identifier des cibles potentielles pour d'autres attaques.
Cette vulnérabilité a été rendue publique le 24 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention dans le KEV de CISA. L'absence de PoC public ne signifie pas que la vulnérabilité n'est pas exploitable, mais elle réduit la probabilité d'exploitation à court terme.
Organizations and individuals using FileRise for self-hosting file management and WebDAV services are at risk. This includes users deploying FileRise on shared hosting environments, as the vulnerability could be exploited by other tenants on the same server. Legacy FileRise installations with outdated configurations and weak access controls are particularly vulnerable.
• linux / server: Monitor FileRise logs for suspicious file creation or deletion attempts, particularly those containing directory traversal sequences (e.g., ../).
journalctl -u FileRise -f | grep -i 'traversal'• generic web: Check FileRise access logs for requests containing unusual paths or directory traversal sequences in the resumableIdentifier parameter.
grep 'resumableIdentifier=../' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour FileRise vers la version 3.10.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les permissions d'upload aux utilisateurs autorisés uniquement. Envisagez également de mettre en place un Web Application Firewall (WAF) pour filtrer les requêtes malveillantes contenant des caractères spéciaux ou des séquences de chemin d'accès potentiellement dangereuses. Une surveillance accrue des journaux d'accès et d'erreurs peut aider à détecter les tentatives d'exploitation.
Actualice FileRise a la versión 3.10.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el manejo de subidas de archivos, evitando la escritura y eliminación arbitraria de archivos y directorios en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33329 is a Path Traversal vulnerability in FileRise versions 1.0.1 through 3.9.9, allowing authenticated users to write files to arbitrary locations on the server.
You are affected if you are running FileRise versions 1.0.1 through 3.9.9. Upgrade to version 3.10.0 or later to resolve the vulnerability.
Upgrade FileRise to version 3.10.0 or later. As a temporary workaround, restrict user upload permissions and implement WAF rules to sanitize input.
No active exploitation has been reported at this time, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the FileRise project's official website or GitHub repository for the latest security advisories and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.