Owlfiles File Manager 12.0.1 - パス・トラバーサル (Path Traversal)

このPath Traversal脆弱性は、攻撃者がOwlfiles File ManagerのHTTPサーバーを介してシステムディレクトリにアクセスすることを可能にします。攻撃者は、ディレクトリトラバーサルシーケンス（例：../..）を含むGETリクエストを送信することで、通常アクセスできないファイルやディレクトリの内容を閲覧できます。これにより、機密情報（設定ファイル、データベースファイルなど）が漏洩する可能性があります。また、攻撃者はシステムファイルを改ざんしたり、悪意のあるコードを実行したりする可能性も否定できません。この脆弱性は、Androidデバイスのセキュリティを脅かす重大なリスクとなります。

Users of Android devices running Owlfiles File Manager version 12.0.1 are at direct risk. Shared hosting environments or devices with weak access controls are particularly vulnerable, as an attacker could potentially leverage this vulnerability to gain broader access to the system. Users who store sensitive data within the file manager's accessible directories are also at increased risk.

• android / file-manager:

Get-InstalledPackage -Name "Owlfiles File Manager"

• android / file-manager:

# Check for suspicious files in accessible directories
Get-ChildItem -Path /data/data/com.owlfiles.filemanager/files/ -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.Name -match "..\"}

• android / file-manager:

# Check for unusual network activity related to the file manager
netstat -an | grep :8080 # Assuming default port

1. 2026-01-13Disclosure

   disclosure

1. 予約済み2026-01-10
2. 公開日2026-01-13
3. 更新日2026-04-07
4. EPSS 更新日2026-03-23

この脆弱性への主な対策は、Owlfiles File Managerを最新バージョンにアップデートすることです。アップデートが利用できない場合は、ファイルマネージャーのアクセス権を制限し、不要なディレクトリへのアクセスを遮断するファイアウォールルールを実装することを検討してください。また、Webアプリケーションファイアウォール（WAF）を導入し、ディレクトリトラバーサル攻撃を検知・防御することも有効です。アップデート後、ファイルマネージャーの動作を確認し、不正なファイルアクセスが発生していないことを確認してください。