प्लेटफ़ॉर्म
go
घटक
github.com/filebrowser/filebrowser/v2
में ठीक किया गया
2.61.3
2.61.2
FileBrowser V2 के TUS resumable अपलोड हैंडलर में एक भेद्यता पाई गई है, जहाँ Upload-Length हेडर को बिना सत्यापन के एक हस्ताक्षरित 64-बिट पूर्णांक के रूप में पार्स किया जाता है। एक हमलावर नकारात्मक मान प्रदान करके after_upload हुक को अनधिकृत रूप से ट्रिगर कर सकता है, जिससे संभावित रूप से मनमाना कोड निष्पादित हो सकता है। यह भेद्यता FileBrowser V2 के संस्करणों ≤2.61.1 को प्रभावित करती है। फिलहाल कोई आधिकारिक पैच उपलब्ध नहीं है।
filebrowser में CVE-2026-32759 एक प्रमाणित उपयोगकर्ता को अपलोड अनुमतियों के साथ अप्रत्याशित afterupload हुक को ट्रिगर करने की अनुमति देता है। TUS (Resumable Upload) हैंडलर Upload-Length हेडर को हस्ताक्षरित 64-बिट पूर्णांक के रूप में पार्स करता है, लेकिन यह सत्यापित नहीं करता है कि मान गैर-ऋणात्मक है। जब एक नकारात्मक मान प्रदान किया जाता है (जैसे -1), तो पहली PATCH अनुरोध तुरंत समापन शर्त (newOffset >= uploadLength → 0 >= -1) को पूरा करता है, जिससे सर्वर आंशिक या खाली फ़ाइल के साथ afterupload exec हुक को ट्रिगर करता है। यदि after_upload हुक को सिस्टम कमांड या स्क्रिप्ट निष्पादित करने के लिए कॉन्फ़िगर किया गया है, तो यह मनमाना कोड निष्पादन की ओर ले जा सकता है। इस भेद्यता की गंभीरता कॉन्फ़िगर किए गए हुक और उन हुक को निष्पादित करने वाले उपयोगकर्ता की अनुमतियों पर निर्भर करती है। वर्तमान में उपलब्ध किसी समाधान की कमी सावधानी बरतने और एक संपूर्ण जोखिम मूल्यांकन की आवश्यकता होती है।
filebrowser में अपलोड अनुमतियों के साथ एक प्रमाणित हमलावर नकारात्मक Upload-Length हेडर के साथ PATCH अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। यह सर्वर को यह विश्वास दिलाएगा कि अपलोड पूरा हो गया है, भले ही फ़ाइल आंशिक या खाली हो। हमलावर तब after_upload हुक को पारित किए गए तर्कों को नियंत्रित कर सकता है, जिससे मनमाना कोड निष्पादन की अनुमति मिल सकती है। शोषण के लिए filebrowser सिस्टम तक प्रमाणित पहुंच की आवश्यकता होती है, लेकिन अपलोड अनुमतियों से परे किसी भी विशेषाधिकार की आवश्यकता नहीं होती है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए केवल एक HTTP हेडर को संशोधित करने की आवश्यकता होती है।
Organizations using filebrowser/filebrowser/v2 for file management, particularly those with publicly accessible upload endpoints or those who have configured custom after_upload hooks. Shared hosting environments where multiple users share the same filebrowser instance are also at increased risk.
• linux / server:
journalctl -u filebrowser -g 'after_upload' | grep -i 'error' • generic web:
curl -I 'http://your-filebrowser-url/upload' -H 'Upload-Length: -1' | grep '200 OK'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (40% शतमक)
CISA SSVC
चूंकि filebrowser में CVE-2026-32759 के लिए कोई समाधान उपलब्ध नहीं है, इसलिए प्राथमिक शमन TUS अपलोड कार्यक्षमता या afterupload हुक को अस्थायी रूप से अक्षम करना है जब तक कि एक अपडेट जारी नहीं किया जाता है। भविष्य के सुरक्षा अपडेट के लिए filebrowser रिपॉजिटरी की निगरानी करने की जोरदार सिफारिश की जाती है। इसके अतिरिक्त, संभावित रूप से खतरनाक कोड को निष्पादित नहीं करने के लिए afterupload हुक के कॉन्फ़िगरेशन की जांच करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से शोषण प्रयासों का पता लगाने और उन्हें ब्लॉक करने में मदद मिल सकती है, हालांकि यह एक पूर्ण समाधान नहीं है। पैच जारी होने के बाद filebrowser के नवीनतम स्थिर संस्करण में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है।
No hay una versión corregida disponible al momento del análisis. Se recomienda deshabilitar el endpoint TUS (/api/tus) o deshabilitar los hooks exec (enableExec=false) hasta que se publique una actualización. Monitorear las actualizaciones de seguridad en el repositorio de File Browser.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
TUS (Resumable Upload) एक प्रोटोकॉल है जो क्लाइंट को बाधित फ़ाइल अपलोड को फिर से शुरू करने की अनुमति देता है।
after_upload हुक ऐसे फ़ंक्शन हैं जो फ़ाइल अपलोड पूरा होने के बाद निष्पादित होते हैं। उनका उपयोग थंबनेल उत्पन्न करने या फ़ाइल को अनुक्रमित करने जैसे कार्य करने के लिए किया जा सकता है।
यदि आप filebrowser का उपयोग कर रहे हैं और TUS अपलोड कार्यक्षमता और after_upload हुक सक्षम हैं, तो आप कमजोर होने की संभावना है।
संभावित रूप से खतरनाक कोड को निष्पादित नहीं करने के लिए अपने after_upload हुक के कॉन्फ़िगरेशन की सावधानीपूर्वक समीक्षा करें। WAF को लागू करने पर विचार करें।
वर्तमान में कोई सुधार उपलब्ध नहीं है। भविष्य के अपडेट के लिए filebrowser रिपॉजिटरी की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।