無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

CRITICALCVE-2026-32760CVSS 9.5

CVE-2026-32760: Admin Account Creation in Filebrowser v2

プラットフォーム

go

コンポーネント

github.com/filebrowser/filebrowser/v2

修正版

2.62.0

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-32760 is a critical vulnerability affecting Filebrowser v2, allowing unauthenticated users to register as full administrators. This occurs when self-registration is enabled (signup = true) and the default user permissions grant administrative privileges. The vulnerability impacts versions prior to 2.62.0 and can be resolved by upgrading to the patched version.

Go

このCVEがあなたのプロジェクトに影響するか確認

go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。

go.mod をアップロード

影響と攻撃シナリオ

filebrowser の CVE-2026-32760 は、自己登録 (signup = true) が有効になっており、デフォルトのユーザー権限が perm.admin = true の場合、認証されていない訪問者がフル管理者として登録できる脆弱性です。登録ハンドラは、サーバー側のガードなしに、Perm.Admin を含むすべてのデフォルト設定を新しいユーザーに盲目的に適用します。これにより、攻撃者は有効な資格情報なしに filebrowser システムへの完全な管理者アクセス権を取得し、保存されているファイルのセキュリティと機密性を損なう可能性があります。

悪用の状況

攻撃者は、自己登録が有効になっている filebrowser の登録インターフェース (通常は /signup などの URL を介して) にアクセスすることで、この脆弱性を悪用できます。有効なユーザー名を提供することで、攻撃者は事前に認証なしで管理者アカウントを作成できます。この脆弱性の悪用が容易であることと、管理者アクセス権の潜在的な影響を考慮すると、この脆弱性は重大度が高いです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
レポート1 脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能yes
技術的影響total

弱点分類 (CWE)

CWE-269CWE-284

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

CVE-2026-32760 の主な軽減策は、filebrowser をバージョン 2.62.0 以降に更新することです。このバージョンは、サーバー側の検証を実装することで脆弱性を修正し、自己登録されたアカウントが管理者権限を取得できないようにします。追加の対策として、自己登録機能 (signup = false) が絶対に必要な場合にのみ無効にします。自己登録が必要な場合は、perm.admin が 'false' に設定されていることを確認するために、デフォルトのユーザー設定を注意深く確認してください。システムログを監視して、疑わしい登録試行を検出します。

修正方法翻訳中…

Actualice File Browser a la versión 2.62.0 o superior. Esta versión corrige la vulnerabilidad que permite a usuarios no autenticados registrarse como administradores si la auto-registración está habilitada y los permisos por defecto incluyen privilegios de administrador. Desactive la auto-registración si no es necesaria.

よくある質問

CVE-2026-32760 とは何ですか?(github.com/filebrowser/filebrowser/v2)

filebrowser は、Web インターフェースを通じてリモートサーバー上のファイルを管理できるオープンソースの Web ファイルブラウザです。

github.com/filebrowser/filebrowser/v2 の CVE-2026-32760 による影響を受けていますか?

filebrowser のバージョンが 2.62.0 より前で、デフォルト設定で自己登録 (signup = true) が有効になっており、perm.admin = true に設定されている場合は、影響を受けている可能性があります。

github.com/filebrowser/filebrowser/v2 の CVE-2026-32760 を修正するにはどうすればよいですか?

一時的な対策として、自己登録機能 (signup = false) を無効にするか、デフォルトのユーザー設定で perm.admin を 'false' に設定します。

CVE-2026-32760 は積極的に悪用されていますか?

現在、この脆弱性を検出するための特定のツールはありませんが、システムログを監視して疑わしい登録試行を検出できます。

CVE-2026-32760 に関する github.com/filebrowser/filebrowser/v2 の公式アドバイザリはどこで確認できますか?

この脆弱性に関する詳細については、CVE エントリを参照してください: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-32760

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
Go

このCVEがあなたのプロジェクトに影響するか確認

go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。

go.mod をアップロード
scanZone.liveBadgescanZone.eyebrow

Goプロジェクトを今すぐスキャン — アカウント不要

Upload your go.mod and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...