प्लेटफ़ॉर्म
go
घटक
github.com/filebrowser/filebrowser/v2
में ठीक किया गया
2.62.3
2.62.2
CVE-2026-34530 File Browser के SPA इंडेक्स पेज में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। एक हमलावर व्यवस्थापक-नियंत्रित ब्रांडिंग फ़ील्ड में दुर्भावनापूर्ण पेलोड इंजेक्ट करके सभी आगंतुकों के लिए लगातार जावास्क्रिप्ट इंजेक्ट कर सकता है, जिसमें प्रमाणीकरणहीन उपयोगकर्ता भी शामिल हैं। यह भेद्यता github.com/filebrowser/filebrowser/v2 के संस्करणों को प्रभावित करती है। वर्जन 2.62.2 में इस समस्या का समाधान किया गया है।
File Browser में CVE-2026-34530 एक महत्वपूर्ण जोखिम प्रस्तुत करता है क्योंकि यह SPA इंडेक्स पेज में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता के कारण है। एक दुर्भावनापूर्ण व्यवस्थापक branding.name फ़ील्ड में दुर्भावनापूर्ण JavaScript कोड इंजेक्ट कर सकता है, जिसे उचित सैनिटाइजेशन के बिना सीधे पृष्ठ पर प्रस्तुत किया जाता है। यह साइट के सभी आगंतुकों (सत्यापित नहीं उपयोगकर्ताओं सहित) के लिए स्क्रिप्ट निष्पादित करने की अनुमति देता है, जिससे संभावित रूप से जानकारी की गोपनीयता, अखंडता और उपलब्धता से समझौता होता है। CVSS स्कोर 6.9 होने का संकेत है कि मध्यम से उच्च जोखिम है, और शोषण को रोकने के लिए तत्काल ध्यान देने की आवश्यकता है।
यह भेद्यता File Browser व्यवस्थापन कॉन्फ़िगरेशन में branding.name फ़ील्ड में हेरफेर करके शोषण किया जाता है। व्यवस्थापक विशेषाधिकार वाले एक हमलावर इस फ़ील्ड में दुर्भावनापूर्ण JavaScript पेलोड इंजेक्ट कर सकता है। कॉन्फ़िगरेशन को सहेजने पर, यह पेलोड संग्रहीत हो जाता है और प्रत्येक बार जब कोई उपयोगकर्ता (सत्यापित या गैर-सत्यापित) SPA इंडेक्स पेज तक पहुंचता है, तो इसे निष्पादित किया जाता है। पेलोड सत्र कुकीज़ को चुराना, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करना या पृष्ठ सामग्री को संशोधित करना जैसे विभिन्न दुर्भावनापूर्ण क्रियाएं कर सकता है।
File Browser installations where administrators have access to modify branding settings are at risk. This includes shared hosting environments where multiple users may share a single File Browser instance and one administrator could compromise the entire system. Legacy File Browser deployments running older, unpatched versions are particularly vulnerable.
• linux / server: Examine File Browser configuration files for suspicious JavaScript code in the branding.name field. Use grep to search for potentially malicious payloads.
grep -r 'alert(' /path/to/filebrowser/config.yml• generic web: Monitor File Browser access logs for requests to modify the branding configuration. Look for unusual user agents or IP addresses.
curl -I http://your-filebrowser-instance/branding• wordpress / composer / npm: (Not applicable, as File Browser is not a WordPress plugin or Node.js package) • database (mysql, redis, mongodb, postgresql): (Not applicable, as File Browser does not directly store branding information in a database) • windows / supply-chain: (Not applicable, as File Browser is not a Windows application)
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान File Browser को संस्करण 2.62.2 या उच्चतर में अपडेट करना है, जो इस भेद्यता को ठीक करता है। अपडेट करने से पहले, File Browser के कॉन्फ़िगरेशन और डेटा का पूर्ण बैकअप लेने की अनुशंसा की जाती है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी शमन उपाय के रूप में, branding.name फ़ील्ड में अनुमत वर्णों को सुरक्षित सेट तक सीमित किया जा सकता है, हालांकि यह वांछित कार्यक्षमता को प्रभावित कर सकता है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी भी संभावित शोषण प्रयासों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है। सिस्टम प्रशासन सुरक्षा नीतियों की समीक्षा और मजबूत करना भी अनुशंसित है।
Actualice File Browser a la versión 2.62.2 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado. La actualización evitará que un administrador malicioso inyecte código JavaScript persistente que se ejecute para todos los visitantes.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संग्रहीत XSS (या दृढ़ XSS) तब होता है जब एक हमलावर एक वेबसाइट में दुर्भावनापूर्ण कोड इंजेक्ट करता है, जिसे तब उस पृष्ठ पर जाने वाले अन्य उपयोगकर्ताओं के लिए निष्पादित किया जाता है। इस मामले में, कोड File Browser डेटाबेस में संग्रहीत है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो branding.name फ़ील्ड में अनुमत वर्णों को सुरक्षित सेट तक सीमित करने का प्रयास करें। हालांकि, यह एक अस्थायी समाधान है, और अपडेट सबसे अच्छा विकल्प है।
असामान्य गतिविधि, जैसे संदिग्ध अनुरोध या अप्रत्याशित कॉन्फ़िगरेशन संशोधन के लिए सर्वर लॉग की जांच करें। इसके अतिरिक्त, किसी भी असामान्य गतिविधि का पता लगाने के लिए उपयोगकर्ता के व्यवहार की निगरानी करें।
हाँ, शोषण के जोखिम को कम करने के लिए संस्करण 2.62.2 या उच्चतर में अपडेट करना महत्वपूर्ण है। यह भेद्यता साइट के सभी आगंतुकों को प्रभावित करती है।
ऐसे वेब भेद्यता स्कैनर हैं जो संग्रहीत XSS का पता लगा सकते हैं। इसके अतिरिक्त, व्यवस्थापन कॉन्फ़िगरेशन की मैन्युअल जांच समस्या की पहचान करने में मदद कर सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।