平台
go
组件
github.com/filebrowser/filebrowser/v2
修复版本
2.62.3
2.62.2
CVE-2026-34528 是 filebrowser/v2 中的远程代码执行 (RCE) 漏洞。该漏洞源于 signupHandler 在应用默认用户权限时未正确移除 Execute 权限,导致未经身份验证的用户注册后可能获得服务器 shell 执行权限。受影响的版本包括 filebrowser/v2 的所有未打补丁版本。建议立即升级至 2.62.2 版本以解决此问题。
攻击者可以利用此漏洞在服务器上执行任意命令,从而完全控制受影响的系统。这可能导致数据泄露、恶意软件安装、系统破坏,甚至更严重的后果。由于该漏洞允许未经身份验证的用户执行代码,因此其潜在影响非常大。攻击者无需任何凭据即可利用此漏洞,这使得它成为一种高度危险的威胁。如果 Execute=true 在默认用户模板中启用,则风险尤其高。
目前尚未公开发现针对此漏洞的公开利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。该漏洞已发布,因此攻击者可能会积极寻找利用方法。建议密切关注安全社区的动态,并及时采取缓解措施。
漏洞利用状态
EPSS
0.18% (39% 百分位)
CISA SSVC
最有效的缓解措施是立即将 filebrowser/v2 升级至 2.62.2 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:禁用用户注册功能,或者在默认用户模板中将 Execute 权限设置为 false。此外,实施 Web 应用防火墙 (WAF) 规则以检测和阻止尝试利用此漏洞的恶意请求。监控 filebrowser 日志,查找任何可疑活动,例如未经授权的用户注册或命令执行尝试。
升级 File Browser 到 2.62.2 或更高版本。此版本修复了允许未经过身份验证的用户在注册已启用且默认用户模板中允许执行的情况下在服务器上执行任意命令的漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34528 是 filebrowser/v2 中的远程代码执行漏洞,允许未经身份验证的用户在服务器上执行任意命令。
如果您正在使用 filebrowser/v2 且未升级至 2.62.2 或更高版本,则可能受到影响。
立即将 filebrowser/v2 升级至 2.62.2 或更高版本。如果无法升级,请禁用用户注册或将默认用户模板中的 Execute 权限设置为 false。
目前尚未公开发现利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 filebrowser 的官方 GitHub 仓库或网站,查找有关此漏洞的公告和修复信息。
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。