プラットフォーム
go
コンポーネント
github.com/filebrowser/filebrowser/v2
修正版
2.62.3
2.62.2
filebrowser/v2のsignupHandlerにおいて、デフォルトユーザー権限の適用処理に不備があり、Execute権限が適切に削除されない問題が確認されています。この脆弱性を悪用されると、認証されていないユーザーがサーバー上で任意のコマンドを実行できてしまいます。影響を受けるバージョンは2.62.2以前ですが、バージョン2.62.2へのアップデートにより修正されています。
この脆弱性は、攻撃者が認証なしでサーバー上で任意のコマンドを実行できる重大なリスクをもたらします。攻撃者は、Webサーバーのファイルシステムへのアクセス、機密データの窃取、さらにはサーバー全体の制御奪取を試みる可能性があります。特に、デフォルトユーザーテンプレートでExecute=trueが設定されている環境では、攻撃が容易に行われるため、注意が必要です。類似の脆弱性は、設定ミスによって権限昇格を許してしまうケースでしばしば見られます。
この脆弱性は、2026年3月31日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の重大度から、今後悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明ですが、攻撃対象領域が広く、悪用が容易であるため、注意が必要です。
エクスプロイト状況
EPSS
0.18% (39% パーセンタイル)
CISA SSVC
まず、filebrowser/v2をバージョン2.62.2にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、デフォルトユーザーテンプレートでExecuteをfalseに設定することで、攻撃の影響を軽減できます。Webアプリケーションファイアウォール(WAF)やリバースプロキシを設定し、不審なコマンド実行リクエストをブロックすることも有効です。また、File Browserのログを監視し、異常なアクティビティを早期に検出することも重要です。アップデート後、Execute権限が適切に無効化されていることを確認してください。
File Browser をバージョン 2.62.2 以降にアップデートしてください。このバージョンは、サインアップが有効になっており、デフォルトのユーザーテンプレートで実行が許可されている場合に、認証されていないユーザーがサーバー上で任意のコマンドを実行できる脆弱性を修正しています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34528は、filebrowser/v2において、認証されていないユーザーがサーバー上で任意のコマンドを実行できるリモートコード実行(RCE)脆弱性です。
filebrowser/v2のバージョンが2.62.2以前の場合、この脆弱性に影響される可能性があります。
filebrowser/v2をバージョン2.62.2にアップデートしてください。アップデートが困難な場合は、デフォルトユーザーテンプレートでExecuteをfalseに設定してください。
現時点では公開PoCは確認されていませんが、脆弱性の重大度から、今後悪用される可能性は高いと考えられます。
filebrowserの公式アドバイザリは、GitHubリポジトリのリリースノートで確認できます。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。