平台
go
组件
github.com/filebrowser/filebrowser/v2
修复版本
2.61.3
2.61.2
CVE-2026-32759 是 filebrowser/filebrowser/v2 中的一个远程代码执行 (RCE) 漏洞。该漏洞源于 TUS 可恢复上传处理程序对 Upload-Length 头信息的验证不足,允许攻击者通过提供负值触发 after_upload 执行钩子。受影响的版本包括 2.61.1 及更早版本,建议用户尽快升级或采取缓解措施。
该漏洞允许经过身份验证的攻击者,拥有上传权限,通过构造恶意的 Upload-Length 头信息,触发 after_upload 执行钩子。由于钩子可以执行任意代码,攻击者可以利用此漏洞在服务器上执行任意命令,从而获得对系统的完全控制权。攻击者可以上传恶意文件,利用钩子执行恶意脚本,窃取敏感数据,甚至完全控制服务器。该漏洞的潜在影响非常严重,可能导致数据泄露、系统被破坏和业务中断。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,存在被利用的风险。该漏洞已发布,攻击者可能会积极寻找利用方法。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Organizations using filebrowser/filebrowser/v2 for file management, particularly those with publicly accessible upload endpoints or those who have configured custom after_upload hooks. Shared hosting environments where multiple users share the same filebrowser instance are also at increased risk.
• linux / server:
journalctl -u filebrowser -g 'after_upload' | grep -i 'error' • generic web:
curl -I 'http://your-filebrowser-url/upload' -H 'Upload-Length: -1' | grep '200 OK'disclosure
漏洞利用状态
EPSS
0.18% (40% 百分位)
CISA SSVC
为了缓解 CVE-2026-32759 的风险,建议立即升级到修复版本。如果无法立即升级,可以考虑以下缓解措施:禁用或限制 afterupload 钩子的执行,确保钩子只执行受信任的代码。此外,可以实施严格的输入验证,过滤掉任何负数的 Upload-Length 头信息。使用 Web 应用防火墙 (WAF) 规则来检测和阻止恶意的上传请求。升级后,请确认 afterupload 钩子功能正常,并检查系统日志是否存在异常活动。
No hay una versión corregida disponible al momento del análisis. Se recomienda deshabilitar el endpoint TUS (/api/tus) o deshabilitar los hooks exec (enableExec=false) hasta que se publique una actualización. Monitorear las actualizaciones de seguridad en el repositorio de File Browser.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32759 是 filebrowser/filebrowser/v2 中的一个远程代码执行漏洞,攻击者可以通过提供负数的 Upload-Length 头信息触发 after_upload 执行钩子,从而执行任意代码。
如果您正在使用 filebrowser/filebrowser/v2 的版本小于等于 2.61.1,则可能受到影响。请立即检查您的版本并采取相应的措施。
建议升级到修复版本。如果无法立即升级,可以考虑禁用或限制 after_upload 钩子的执行,并实施严格的输入验证。
目前尚无公开的漏洞利用程序,但该漏洞的严重性较高,存在被利用的风险。
请访问 filebrowser 的官方 GitHub 仓库或网站,查找相关的安全公告和修复说明。
上传你的 go.mod 文件,立即知道是否受影响。