Plateforme
go
Composant
github.com/filebrowser/filebrowser/v2
Corrigé dans
2.62.3
2.62.2
Cette vulnérabilité de Cross-Site Scripting (XSS) affecte File Browser v2, un navigateur de fichiers web. Elle permet à un administrateur malveillant d'injecter du code JavaScript persistant via les champs de branding, exécuté pour tous les visiteurs du site, y compris les utilisateurs non authentifiés. Les versions concernées sont celles antérieures à 2.62.2. Une version corrigée (2.62.2) est disponible.
La vulnérabilité CVE-2026-34530 dans File Browser présente un risque important en raison d'une faille de Cross-Site Scripting (XSS) stockée dans la page d'index SPA. Un administrateur malveillant peut injecter du code JavaScript malveillant dans le champ branding.name, qui est rendu directement dans la page sans une désinfection appropriée. Cela permet l'exécution de scripts pour tous les visiteurs du site, y compris les utilisateurs non authentifiés, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des informations. Le score CVSS de 6.9 indique un risque modérément élevé, nécessitant une attention immédiate pour éviter l'exploitation.
La vulnérabilité est exploitée par la manipulation du champ branding.name dans la configuration d'administration de File Browser. Un attaquant disposant d'un accès administratif peut injecter une charge utile JavaScript malveillante dans ce champ. Lors de la sauvegarde de la configuration, cette charge utile est stockée et exécutée chaque fois qu'un utilisateur (authentifié ou non) accède à la page d'index SPA. La charge utile peut effectuer diverses actions malveillantes, telles que le vol de cookies de session, la redirection des utilisateurs vers des sites Web malveillants ou la modification du contenu de la page.
File Browser installations where administrators have access to modify branding settings are at risk. This includes shared hosting environments where multiple users may share a single File Browser instance and one administrator could compromise the entire system. Legacy File Browser deployments running older, unpatched versions are particularly vulnerable.
• linux / server: Examine File Browser configuration files for suspicious JavaScript code in the branding.name field. Use grep to search for potentially malicious payloads.
grep -r 'alert(' /path/to/filebrowser/config.yml• generic web: Monitor File Browser access logs for requests to modify the branding configuration. Look for unusual user agents or IP addresses.
curl -I http://your-filebrowser-instance/branding• wordpress / composer / npm: (Not applicable, as File Browser is not a WordPress plugin or Node.js package) • database (mysql, redis, mongodb, postgresql): (Not applicable, as File Browser does not directly store branding information in a database) • windows / supply-chain: (Not applicable, as File Browser is not a Windows application)
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour File Browser vers la version 2.62.2 ou supérieure, qui corrige cette vulnérabilité. Avant de mettre à jour, il est recommandé de faire une sauvegarde complète de la configuration et des données de File Browser. Si la mise à jour immédiate n'est pas possible, une solution temporaire peut être mise en œuvre en limitant les caractères autorisés dans le champ branding.name à un ensemble sûr, bien que cela puisse affecter la fonctionnalité souhaitée. Surveiller les journaux du serveur à la recherche d'une activité suspecte peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. Il est également recommandé de revoir et de renforcer les politiques de sécurité de l'administration système.
Actualice File Browser a la versión 2.62.2 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado. La actualización evitará que un administrador malicioso inyecte código JavaScript persistente que se ejecute para todos los visitantes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS stocké (ou persistant) se produit lorsqu'un attaquant injecte du code malveillant dans un site Web, qui est ensuite exécuté pour les autres utilisateurs visitant la page. Dans ce cas, le code est stocké dans la base de données de File Browser.
Si vous ne pouvez pas mettre à jour immédiatement, essayez de limiter les caractères autorisés dans le champ branding.name. Cependant, il s'agit d'une solution temporaire et la mise à jour est la meilleure option.
Examinez les journaux du serveur à la recherche d'une activité inhabituelle, telle que des requêtes suspectes ou des modifications inattendues de la configuration. Surveillez également le comportement des utilisateurs pour détecter toute activité anormale.
Oui, il est essentiel de mettre à jour vers la version 2.62.2 ou supérieure pour atténuer le risque d'exploitation. La vulnérabilité affecte tous les visiteurs du site.
Il existe des scanners de vulnérabilités Web qui peuvent détecter le XSS stocké. De plus, un examen manuel de la configuration d'administration peut aider à identifier le problème.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.