FileRiseは、セルフホスト型のWebファイルマネージャー/WebDAVサーバーです。バージョン3.8.0以前のFileRiseには、deleteShareLinkエンドポイントにおける認証なしの脆弱性が存在します。この脆弱性を悪用すると、認証されていないユーザーは共有トークンのみを提供することで、任意のファイル共有リンクを削除し、共有ファイルへのアクセスを妨害する可能性があります。バージョン3.8.0でこの問題は修正されています。
この脆弱性は、攻撃者がFileRiseインスタンスの共有ファイルへのアクセスを妨害することを可能にします。攻撃者は、共有トークンをHTTPリクエストに含めるだけで、共有リンクを削除できます。これにより、共有ファイルにアクセスする必要がある正当なユーザーは、ファイルにアクセスできなくなり、業務の中断やデータ損失につながる可能性があります。特に、多くのユーザーが共有ファイルに依存している環境では、影響が大きくなる可能性があります。この脆弱性は、認証が必要ないため、広範囲の攻撃者によって悪用される可能性があります。
この脆弱性は、2026年3月20日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVカタログへの登録状況は不明です。この脆弱性の悪用可能性は、認証なしで共有リンクを削除できるという事実から、中程度と評価されます。
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性に対する最も効果的な対策は、FileRiseをバージョン3.8.0以降にアップグレードすることです。アップグレードできない場合は、共有リンクの削除を制限するカスタムのWAFルールを実装することを検討してください。例えば、特定のIPアドレスからのアクセスのみを許可するルールを作成したり、共有リンクの削除を完全に無効化するルールを作成したりできます。また、共有リンクの有効期限を設定することで、攻撃者がリンクを悪用する時間を制限することも有効です。アップグレード後、共有リンクの削除機能が正常に動作することを確認してください。
FileRise を 3.8.0 以降のバージョンにアップデートしてください。このバージョンは、認証されていない共有リンク削除の脆弱性を修正します。アップデートにより、許可されていないユーザーが共有リンクを削除することを防ぎ、共有ファイルへの安全なアクセスを復元します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33070は、FileRiseのバージョン3.8.0以前における認証なしの脆弱性で、攻撃者が共有リンクを削除し、共有ファイルへのアクセスを妨害する可能性があります。
FileRiseのバージョンが3.8.0以前の場合は、この脆弱性の影響を受ける可能性があります。バージョン3.8.0以降にアップグレードすることを推奨します。
FileRiseをバージョン3.8.0以降にアップグレードしてください。アップグレードできない場合は、WAFルールを実装して共有リンクの削除を制限することを検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、悪用される可能性はあります。
FileRiseの公式アドバイザリは、FileRiseのウェブサイトまたは関連するセキュリティ情報源で確認できます。