プラットフォーム
go
コンポーネント
github.com/filebrowser/filebrowser/v2
修正版
2.62.3
2.62.2
File Browser v2 の SPA インデックスページに、保存型クロスサイトスクリプティング (XSS) の脆弱性が存在します。この脆弱性は、管理者が branding.name フィールドに悪意のあるペイロードを設定することで発生し、すべての訪問者、認証されていないユーザーを含む、すべてのユーザーに対して永続的な JavaScript を実行させます。この脆弱性は、http/static.go ファイルのテンプレート処理における不備が原因です。バージョン 2.62.2 で修正されました。
この XSS 脆弱性を悪用すると、攻撃者は File Browser の管理権限を持つユーザーになりすまして、機密情報を盗み出す可能性があります。例えば、ユーザーの認証情報、ファイルシステムへのアクセス権、その他の機密データが危険にさらされる可能性があります。さらに、攻撃者は悪意のあるスクリプトを実行して、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、マルウェアをインストールしたり、File Browser インスタンスを完全に制御したりする可能性があります。この脆弱性は、特に File Browser を公共のインターネットに公開している環境において、重大なリスクをもたらします。類似の XSS 脆弱性は、Web アプリケーションにおける一般的な攻撃ベクトルであり、ユーザーの信頼を損ない、データ侵害につながる可能性があります。
この脆弱性は 2026 年 3 月 31 日に公開されました。現時点では、この脆弱性を悪用した既知の攻撃キャンペーンは報告されていませんが、公開されている脆弱性であるため、悪用される可能性はあります。この脆弱性は KEV (Known Exploited Vulnerabilities) に掲載されているかどうかは不明です。EPSS (Exploit Prediction Score System) の評価はまだ利用できません。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の情報も確認してください。
File Browser installations where administrators have access to modify branding settings are at risk. This includes shared hosting environments where multiple users may share a single File Browser instance and one administrator could compromise the entire system. Legacy File Browser deployments running older, unpatched versions are particularly vulnerable.
• linux / server: Examine File Browser configuration files for suspicious JavaScript code in the branding.name field. Use grep to search for potentially malicious payloads.
grep -r 'alert(' /path/to/filebrowser/config.yml• generic web: Monitor File Browser access logs for requests to modify the branding configuration. Look for unusual user agents or IP addresses.
curl -I http://your-filebrowser-instance/branding• wordpress / composer / npm: (Not applicable, as File Browser is not a WordPress plugin or Node.js package) • database (mysql, redis, mongodb, postgresql): (Not applicable, as File Browser does not directly store branding information in a database) • windows / supply-chain: (Not applicable, as File Browser is not a Windows application)
disclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず File Browser をバージョン 2.62.2 への最新バージョンにアップグレードすることを強く推奨します。アップグレードがすぐに実行できない場合は、一時的な緩和策として、branding.name フィールドへの入力の検証を強化し、HTML エンコーディングを適用して、悪意のあるスクリプトの注入を防ぐことができます。Web アプリケーションファイアウォール (WAF) を使用して、XSS 攻撃を検出し、ブロックすることも有効です。また、File Browser のログを監視し、不審なアクティビティがないか確認することも重要です。アップグレード後、ブラウザの開発者ツールを使用して、branding.name フィールドに悪意のあるペイロードを入力し、スクリプトが実行されないことを確認してください。
Actualice File Browser a la versión 2.62.2 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado. La actualización evitará que un administrador malicioso inyecte código JavaScript persistente que se ejecute para todos los visitantes.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34530 は、File Browser v2 の SPA インデックスページにおける、管理者制御のブランディングフィールドを介した保存型クロスサイトスクリプティング (XSS) の脆弱性です。
File Browser v2 を使用している場合は、この脆弱性の影響を受ける可能性があります。バージョン 2.62.2 未満を使用している場合は、特に注意が必要です。
File Browser をバージョン 2.62.2 への最新バージョンにアップグレードしてください。アップグレードできない場合は、入力検証と HTML エンコーディングを強化してください。
現時点では、この脆弱性を悪用した既知の攻撃キャンペーンは報告されていませんが、悪用される可能性はあります。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで、この脆弱性に関する詳細情報を確認できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。