Plataforma
go
Componente
github.com/filebrowser/filebrowser/v2
Corrigido em
2.62.3
2.62.2
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no File Browser v2, especificamente no manipulador de registro (signupHandler). A falha reside na forma como as permissões padrão do usuário são aplicadas e não removidas durante o processo de registro, permitindo que usuários não autenticados obtenham capacidades de execução de shell no servidor. A vulnerabilidade afeta versões anteriores a 2.62.2 e foi publicada em 31 de março de 2026. A correção está disponível na versão 2.62.2.
Um atacante pode explorar esta vulnerabilidade criando uma conta de usuário através do recurso de registro habilitado no File Browser. Se o administrador tiver habilitado o registro de usuários e definido Execute=true no modelo de usuário padrão, o novo usuário herdará a capacidade de executar comandos arbitrários no servidor. Isso pode levar à tomada de controle completa do sistema, roubo de dados sensíveis, instalação de malware ou uso do servidor como um ponto de apoio para ataques adicionais. A falta de remoção das permissões Execute e Commands do modelo padrão é a causa raiz, permitindo a escalada de privilégios sem autenticação.
A vulnerabilidade foi divulgada publicamente em 31 de março de 2026. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, dado o potencial de impacto e a relativa facilidade de exploração se o registro de usuários estiver habilitado e configurado incorretamente. Consulte o aviso oficial do File Browser para obter mais informações.
Status do Exploit
EPSS
0.18% (percentil 39%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o File Browser para a versão 2.62.2 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, desative o recurso de registro de usuários no File Browser. Como alternativa, configure o servidor para garantir que a opção Execute esteja definida como false no modelo de usuário padrão. Monitore os logs do sistema em busca de tentativas de registro suspeitas e atividades anormais após o registro de novos usuários. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações de registro maliciosas também pode ajudar a mitigar o risco.
Atualize File Browser para a versão 2.62.2 ou posterior. Esta versão corrige a vulnerabilidade que permite a usuários não autenticados executar comandos arbitrários no servidor se o registro estiver habilitado e a execução estiver permitida no modelo de usuário padrão.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34528 is a remote code execution vulnerability in File Browser v2. It allows unauthenticated users to execute commands if signup is enabled and the default user template has 'Execute=true'. This poses a significant security risk.
You are affected if you are running File Browser v2 prior to version 2.62.2 and have user signup enabled, especially if the default user template has 'Execute=true' set. Check your version and configuration immediately.
Upgrade File Browser to version 2.62.2 or later. As a temporary workaround, disable user signup or set 'Execute=false' in the default user template. Prioritize upgrading for the best protection.
While no widespread exploitation has been publicly reported yet, the vulnerability's ease of exploitation suggests a potential for active exploitation. Monitor your systems and apply the fix promptly.
Refer to the official File Browser GitHub repository and security advisories for the most up-to-date information and announcements regarding CVE-2026-34528: https://github.com/filebrowser/filebrowser/security/advisories
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.