Platform
go
Component
github.com/filebrowser/filebrowser/v2
Opgelost in
2.62.3
2.62.2
CVE-2026-34528 is een Remote Code Execution (RCE) kwetsbaarheid in File Browser v2. Deze kwetsbaarheid stelt ongeauthenticeerde gebruikers in staat om shell-commando's uit te voeren op de server. Het probleem ontstaat doordat de default user template niet correct wordt schoongemaakt bij het aanmaken van nieuwe gebruikers. De kwetsbaarheid treft versies van File Browser v2 die ouder zijn dan 2.62.2. Een patch is beschikbaar en wordt sterk aangeraden.
Een succesvolle exploitatie van CVE-2026-34528 kan leiden tot volledige overname van de server waarop File Browser draait. Een ongeauthenticeerde aanvaller kan shell-commando's uitvoeren met de privileges van de File Browser-gebruiker. Dit kan resulteren in data-exfiltratie, malware-installatie, en verdere toegang tot het netwerk. De impact is significant, aangezien de aanvaller geen authenticatie nodig heeft om de kwetsbaarheid te misbruiken. Dit is vergelijkbaar met scenario's waarbij misconfiguraties in applicaties onbedoeld privileges verlenen aan ongeautoriseerde gebruikers.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. De KEV-status is momenteel onbekend. Het is aannemelijk dat deze kwetsbaarheid actief wordt gescand door aanvallers. De publicatie datum van de CVE is 2026-03-31, wat suggereert dat de kwetsbaarheid recentelijk is ontdekt en openbaar is gemaakt.
Exploit Status
EPSS
0.18% (39% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar File Browser v2.62.2 of hoger. Indien een upgrade momenteel niet mogelijk is, kan de default user template worden aangepast om ervoor te zorgen dat Execute=false is ingesteld. Dit voorkomt dat nieuwe gebruikers shell-commando's kunnen uitvoeren. Daarnaast kan het uitschakelen van de self-signup functie de impact verminderen. Controleer de File Browser configuratie op onnodige privileges en beperk de toegang tot de applicatie tot geautoriseerde gebruikers. Na de upgrade, verifieer de functionaliteit van File Browser en controleer de logbestanden op verdachte activiteiten.
Werk File Browser bij naar versie 2.62.2 of hoger. Deze versie corrigeert de kwetsbaarheid die niet-geauthenticeerde gebruikers in staat stelt om willekeurige commando's op de server uit te voeren als logging is ingeschakeld en uitvoering is toegestaan in de standaard gebruikerssjabloon.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34528 is een Remote Code Execution kwetsbaarheid in File Browser v2, waardoor ongeauthenticeerde gebruikers shell-commando's kunnen uitvoeren.
Ja, als u File Browser v2 gebruikt in versie < 2.62.2 en self-signup is ingeschakeld met een default user template die Execute=true bevat, bent u kwetsbaar.
Upgrade naar File Browser v2.62.2 of hoger. Indien een upgrade niet mogelijk is, pas dan de default user template aan om Execute=false in te stellen.
De kwetsbaarheid is recentelijk openbaar gemaakt, maar het is aannemelijk dat deze actief wordt gescand door aanvallers.
Raadpleeg de File Browser GitHub repository voor de meest recente informatie en updates over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.