Platform
go
Component
github.com/filebrowser/filebrowser/v2
Opgelost in
2.62.1
2.62.0
CVE-2026-32758 is a Path Traversal vulnerability discovered in filebrowser/filebrowser v2. This flaw allows authenticated users with Create or Rename permissions to bypass administrator-configured deny rules, potentially leading to unauthorized file access. The vulnerability exists because the path validation occurs before the path is cleaned, allowing manipulation via .. sequences. Affected versions are those prior to 2.62.0, and a patch is available in version 2.62.0.
CVE-2026-32758 in Filebrowser stelt een aanvaller in staat om geconfigureerde toegangsregels te omzeilen. De resourcePatchHandler in http/resource.go valideert het doelpad tegen de toegangsregels voordat het pad wordt schoongemaakt/genormaliseerd. De regelengine (rules/rules.go) gebruikt echter letterlijke string-prefix matching (strings.HasPrefix) of regex matching tegen het ruwe pad. De daadwerkelijke besturingsbewerking (fileutils.Copy, patchAction) roept vervolgens path.Clean() aan, wat ..-sequenties oplost, wat resulteert in een ander effectief pad dan degene die aanvankelijk is gevalideerd. Dit stelt een aanvaller in staat om het pad te manipuleren om toegang te krijgen tot bestanden of mappen die normaal gesproken buiten hun bereik zouden liggen, waardoor de systeemsbeveiliging in gevaar komt. De CVSS-severity is 6.5, wat een matig risico aangeeft. Versie 2.62.0 adresseert deze kwetsbaarheid.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een resource patch-verzoek te sturen met een gemanipuleerd doelpad dat ..-sequenties bevat. Initiële padvalidatie kan het verzoek toestaan, maar de daaropvolgende padreiniging zou de ..-sequenties oplossen, waardoor de aanvaller toegang krijgt tot een bestand of map buiten de beoogde map. Dit kan leiden tot het lezen, wijzigen of verwijderen van gevoelige bestanden, of zelfs tot het uitvoeren van kwaadaardige code op de server. De complexiteit van de exploitatie is relatief laag, omdat alleen het indienen van een kwaadaardig verzoek vereist is.
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is om Filebrowser bij te werken naar versie 2.62.0 of hoger. Deze versie repareert de kwetsbaarheid door ervoor te zorgen dat padvalidatie plaatsvindt nadat het pad is schoongemaakt, waardoor manipulatie door ..-sequenties wordt voorkomen. Als aanvullende maatregel, bekijk en versterk de geconfigureerde toegangsregels in Filebrowser om het aanvalsoppervlak te minimaliseren. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op mogelijke exploitatiepogingen. Overweeg het gebruik van een firewall om de toegang tot Filebrowser vanaf onbetrouwbare bronnen te beperken.
Actualice File Browser a la versión 2.62.0 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite eludir las reglas de acceso configuradas por el administrador. La actualización evitará que usuarios autenticados con permisos de creación o renombrado puedan escribir o mover archivos a rutas protegidas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Filebrowser is een open-source web file browser voor toegang tot bestanden op een server.
Controleer de versie van Filebrowser die u gebruikt. Als deze vóór 2.62.0 ligt, bent u kwetsbaar.
CVSS 6.5 geeft een matig risico aan. Dit betekent dat de kwetsbaarheid relatief gemakkelijk kan worden uitgebuit en aanzienlijke gevolgen kan hebben voor de vertrouwelijkheid, integriteit of beschikbaarheid van het systeem.
Als u niet onmiddellijk kunt updaten, overweeg dan om de toegang tot Filebrowser te beperken tot vertrouwde gebruikers en de systeemlogboeken te monitoren op verdachte activiteiten.
U kunt meer informatie over deze kwetsbaarheid vinden in kwetsbaarheidsdatabases zoals NIST NVD.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.