Platform
other
Component
filerise
Opgelost in
1.0.2
CVE-2026-33329 beschrijft een Path Traversal kwetsbaarheid in FileRise, een self-hosted web file manager en WebDAV server. Deze kwetsbaarheid stelt geauthenticeerde gebruikers met uploadrechten in staat om bestanden naar willekeurige locaties op de server te schrijven en directories te verwijderen. De kwetsbaarheid treedt op in versies 1.0.1 tot en met 3.9.9 en is verholpen in versie 3.10.0.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller kan, na authenticatie en met de juiste uploadrechten, willekeurige bestanden op de server plaatsen, inclusief kwaadaardige code. Daarnaast kan de aanvaller directories verwijderen, wat kan leiden tot dataverlies en verstoring van de dienst. Het vermogen om file en directory existence te peilen, verhoogt de impact aanzienlijk, omdat de aanvaller de serverstructuur kan in kaart brengen en zo gerichte aanvallen kan uitvoeren. Dit is vergelijkbaar met scenario's waarbij gevoelige configuratiebestanden of broncode worden blootgesteld.
Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren. Er zijn ook geen publieke Proof-of-Concept (POC) exploits beschikbaar. De kwetsbaarheid is openbaar gemaakt op 2026-03-24 en is opgenomen in de NVD database. De EPSS score is momenteel niet bekend.
Organizations and individuals using FileRise for self-hosting file management and WebDAV services are at risk. This includes users deploying FileRise on shared hosting environments, as the vulnerability could be exploited by other tenants on the same server. Legacy FileRise installations with outdated configurations and weak access controls are particularly vulnerable.
• linux / server: Monitor FileRise logs for suspicious file creation or deletion attempts, particularly those containing directory traversal sequences (e.g., ../).
journalctl -u FileRise -f | grep -i 'traversal'• generic web: Check FileRise access logs for requests containing unusual paths or directory traversal sequences in the resumableIdentifier parameter.
grep 'resumableIdentifier=../' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van FileRise naar versie 3.10.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van uploadrechten voor gebruikers en het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer de configuratie van FileRise om te verzekeren dat upload directories correct zijn ingesteld en dat er geen onnodige rechten zijn verleend. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane upload directory te plaatsen.
Actualice FileRise a la versión 3.10.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el manejo de subidas de archivos, evitando la escritura y eliminación arbitraria de archivos y directorios en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33329 is a Path Traversal vulnerability in FileRise versions 1.0.1 through 3.9.9, allowing authenticated users to write files to arbitrary locations on the server.
You are affected if you are running FileRise versions 1.0.1 through 3.9.9. Upgrade to version 3.10.0 or later to resolve the vulnerability.
Upgrade FileRise to version 3.10.0 or later. As a temporary workaround, restrict user upload permissions and implement WAF rules to sanitize input.
No active exploitation has been reported at this time, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the FileRise project's official website or GitHub repository for the latest security advisories and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.