プラットフォーム
go
コンポーネント
github.com/filebrowser/filebrowser/v2
修正版
2.62.1
2.62.0
この脆弱性は、FileBrowser v2 の resourcePatchHandler において、リソースのパスを検証する際の不備に起因します。検証ルール適用後、path.Clean() が .. シーケンスを解決し、意図しないパスに変換されることで、アクセス制限を回避される可能性があります。影響を受けるバージョンは FileBrowser v2 以前であり、2.62.0 で修正されています。
Filebrowser の CVE-2026-32758 は、攻撃者が設定されたアクセスルールを回避することを可能にします。http/resource.go の resourcePatchHandler は、パスがクリーン/正規化される前に、アクセスルールに対して宛先パスを検証します。ただし、パスのクリーンアッププロセス(path.Clean() を介して)は、.. シーケンスを解決し、最初に検証されたパスとは異なる効果的なパスをもたらします。これにより、攻撃者はパスを操作して、通常はアクセスできないファイルまたはディレクトリにアクセスし、システムセキュリティを損なう可能性があります。CVSS の深刻度は 6.5 で、中程度のリスクを示します。バージョン 2.62.0 はこの脆弱性を修正します。
攻撃者は、.. シーケンスを含む操作された宛先パスを持つリソースパッチリクエストを送信することで、この脆弱性を悪用する可能性があります。初期のパス検証によりリクエストが許可される可能性がありますが、その後のパスのクリーンアップにより .. シーケンスが解決され、攻撃者は意図されたディレクトリ外のファイルまたはディレクトリにアクセスできるようになります。これにより、機密ファイルの読み取り、変更、削除、またはサーバー上での悪意のあるコードの実行につながる可能性があります。悪用の複雑さは比較的低く、悪意のあるリクエストの送信のみが必要です。
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
主な軽減策は、Filebrowser をバージョン 2.62.0 以降に更新することです。このバージョンは、パスのクリーンアップが行われた後にパスの検証が行われるようにすることで、脆弱性を修正し、.. シーケンスによる操作を防ぎます。追加の対策として、Filebrowser で構成されたアクセスルールを確認および強化して、攻撃対象領域を最小限に抑えます。システムログを監視して疑わしいアクティビティを検出および対応することも役立ちます。信頼できないソースからの Filebrowser へのアクセスを制限するためにファイアウォールを使用することを検討してください。
Actualice File Browser a la versión 2.62.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite eludir las reglas de acceso configuradas por el administrador. La actualización evitará que usuarios autenticados con permisos de creación o renombrado puedan escribir o mover archivos a rutas protegidas.
脆弱性分析と重要アラートをメールでお届けします。
Filebrowser は、サーバー上のファイルにアクセスするためのオープンソースの Web ファイルブラウザです。
使用している Filebrowser のバージョンを確認してください。2.62.0 より前のバージョンを使用している場合は、脆弱性があります。
CVSS 6.5 は、中程度のリスクを示します。これは、脆弱性が比較的簡単に悪用される可能性があり、システム機密性、完全性、または可用性に重大な影響を与える可能性があることを意味します。
すぐに更新できない場合は、Filebrowser へのアクセスを信頼できるユーザーに制限し、システムログを監視して疑わしいアクティビティを検出することを検討してください。
NIST NVD などの脆弱性データベースで、この脆弱性に関する詳細情報を入手できます。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。