Plataforma
other
Componente
filerise
Corrigido em
1.0.2
A vulnerabilidade CVE-2026-33329 é um problema de Path Traversal descoberto no FileRise, um gerenciador de arquivos web auto-hospedado. Essa falha permite que usuários autenticados com permissão de upload escrevam arquivos em locais arbitrários no sistema de arquivos do servidor, além de possibilitar a exclusão de diretórios. A vulnerabilidade afeta versões do FileRise entre 1.0.1 (inclusive) e 3.10.0 (exclusiva), sendo corrigida na versão 3.10.0.
Um atacante explorando essa vulnerabilidade pode obter controle significativo sobre o servidor FileRise. A capacidade de escrever arquivos em diretórios arbitrários permite a execução de código malicioso, a modificação de arquivos de configuração críticos e o roubo de dados sensíveis. A exclusão de diretórios pode levar à interrupção do serviço e à perda de dados. A combinação dessas capacidades oferece um amplo potencial de dano, permitindo que um atacante comprometa a integridade e a confidencialidade do sistema. A ausência de sanitização adequada do parâmetro resumableIdentifier torna a exploração relativamente simples para um atacante autenticado.
A vulnerabilidade foi divulgada em 2026-03-24. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um proof-of-concept público é desconhecida. A severidade da vulnerabilidade é classificada como ALTA devido ao seu potencial de impacto e à relativa facilidade de exploração.
Organizations and individuals using FileRise for self-hosting file management and WebDAV services are at risk. This includes users deploying FileRise on shared hosting environments, as the vulnerability could be exploited by other tenants on the same server. Legacy FileRise installations with outdated configurations and weak access controls are particularly vulnerable.
• linux / server: Monitor FileRise logs for suspicious file creation or deletion attempts, particularly those containing directory traversal sequences (e.g., ../).
journalctl -u FileRise -f | grep -i 'traversal'• generic web: Check FileRise access logs for requests containing unusual paths or directory traversal sequences in the resumableIdentifier parameter.
grep 'resumableIdentifier=../' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33329 é a atualização imediata para a versão 3.10.0 ou superior do FileRise. Se a atualização imediata não for possível, considere implementar regras de firewall (WAF) ou proxy para bloquear solicitações que contenham caracteres suspeitos no parâmetro resumableIdentifier. Além disso, revise as permissões de usuário para garantir que apenas usuários confiáveis tenham permissão de upload. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora dos diretórios esperados. Não há detecção de assinatura específica disponível, mas a análise de comportamento pode identificar uploads anormais.
Actualice FileRise a la versión 3.10.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el manejo de subidas de archivos, evitando la escritura y eliminación arbitraria de archivos y directorios en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33329 is a Path Traversal vulnerability in FileRise versions 1.0.1 through 3.9.9, allowing authenticated users to write files to arbitrary locations on the server.
You are affected if you are running FileRise versions 1.0.1 through 3.9.9. Upgrade to version 3.10.0 or later to resolve the vulnerability.
Upgrade FileRise to version 3.10.0 or later. As a temporary workaround, restrict user upload permissions and implement WAF rules to sanitize input.
No active exploitation has been reported at this time, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the FileRise project's official website or GitHub repository for the latest security advisories and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.