Plateforme
go
Composant
github.com/filebrowser/filebrowser/v2
Corrigé dans
2.62.3
2.62.2
La vulnérabilité CVE-2026-34528 est une faille d'exécution de code à distance (RCE) affectant File Browser v2. Elle permet à un utilisateur non authentifié, après s'être inscrit, d'obtenir des privilèges d'exécution de commandes sur le serveur si l'exécution côté serveur est activée et que la permission 'Execute' est définie sur 'true' dans le modèle d'utilisateur par défaut. La vulnérabilité est corrigée dans la version 2.62.2.
Cette vulnérabilité est particulièrement critique car elle permet à un attaquant non authentifié de compromettre complètement le serveur File Browser. En s'inscrivant et en exploitant cette faille, un attaquant peut exécuter des commandes arbitraires avec les privilèges de l'utilisateur File Browser, potentiellement permettant de prendre le contrôle total du système. L'impact est amplifié si le serveur File Browser est utilisé pour stocker des données sensibles ou s'il est intégré à d'autres systèmes critiques. Une exploitation réussie pourrait entraîner la perte de données, la modification de fichiers, l'installation de logiciels malveillants et la compromission de l'ensemble du réseau.
La vulnérabilité CVE-2026-34528 a été divulguée le 2026-03-31. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature critique de la vulnérabilité (RCE) et la disponibilité du code source de File Browser augmentent le risque d'exploitation future. Il est conseillé de traiter cette vulnérabilité avec une priorité élevée. Aucun ajout au KEV n'est connu à ce jour.
Statut de l'Exploit
EPSS
0.18% (percentile 39%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour File Browser vers la version 2.62.2 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est crucial de désactiver l'inscription des utilisateurs ou de configurer des restrictions strictes sur les permissions par défaut. Il est également recommandé de désactiver l'exécution côté serveur si elle n'est pas absolument nécessaire. En attendant la mise à jour, surveillez les journaux du serveur pour détecter toute activité suspecte liée à l'inscription d'utilisateurs ou à l'exécution de commandes. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les tentatives d'exploitation.
Mettez à jour File Browser à la version 2.62.2 ou ultérieure. Cette version corrige la vulnérabilité qui permet aux utilisateurs non authentifiés d'exécuter des commandes arbitraires sur le serveur si l'inscription est activée et l'exécution est autorisée dans le modèle utilisateur par défaut.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34528 is a remote code execution vulnerability in File Browser v2. It allows unauthenticated users to execute commands if signup is enabled and the default user template has 'Execute=true'. This poses a significant security risk.
You are affected if you are running File Browser v2 prior to version 2.62.2 and have user signup enabled, especially if the default user template has 'Execute=true' set. Check your version and configuration immediately.
Upgrade File Browser to version 2.62.2 or later. As a temporary workaround, disable user signup or set 'Execute=false' in the default user template. Prioritize upgrading for the best protection.
While no widespread exploitation has been publicly reported yet, the vulnerability's ease of exploitation suggests a potential for active exploitation. Monitor your systems and apply the fix promptly.
Refer to the official File Browser GitHub repository and security advisories for the most up-to-date information and announcements regarding CVE-2026-34528: https://github.com/filebrowser/filebrowser/security/advisories
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.