MEDIUMCVE-2026-34530CVSS 6.9

文件浏览器存在通过 text/template 品牌注入实现的存储型跨站脚本漏洞

Q: 我是否受到 CVE-2026-34530 在 filebrowser/filebrowser/v2 中影响?

如果您正在使用 filebrowser/filebrowser/v2 且未升级至 2.62.2 或更高版本，则可能受到此漏洞的影响。

Q: 如何修复 CVE-2026-34530 在 filebrowser/filebrowser/v2 中?

立即升级至 filebrowser/filebrowser/v2 2.62.2 或更高版本。

Q: CVE-2026-34530 是否正在被积极利用?

目前尚未观察到大规模的利用活动，但由于漏洞的严重性，建议密切关注。

Q: 在哪里可以找到 filebrowser/filebrowser/v2 的官方 CVE-2026-34530 告警?

请访问 filebrowser 的官方 GitHub 仓库或官方网站获取更多信息。

平台

组件

github.com/filebrowser/filebrowser/v2

修复版本

2.62.3

2.62.2

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-34530 是 filebrowser/filebrowser/v2 中的一个跨站脚本攻击（XSS）漏洞。攻击者可以通过修改管理员控制的branding字段，向所有访问者（包括未认证用户）注入恶意JavaScript代码。该漏洞影响未更新的 filebrowser/filebrowser/v2 版本，建议尽快升级至 2.62.2 版本以修复此问题。

影响与攻击场景

该XSS漏洞的潜在影响非常严重。攻击者可以利用此漏洞执行任意JavaScript代码，从而窃取用户凭据、会话cookie，或进行其他恶意活动。由于branding.name字段影响所有访问者，包括未认证用户，因此该漏洞的攻击范围非常广。攻击者可以利用此漏洞进行钓鱼攻击，窃取敏感信息，甚至完全控制受感染的File Browser实例。类似XSS攻击，攻击者可以利用此漏洞进行信息窃取和恶意代码执行。

利用背景

目前，该漏洞的公开利用情况尚不明确。该漏洞已于2026年3月31日公开，但尚未观察到大规模的利用活动。由于该漏洞的严重性和易利用性，建议密切关注其利用情况。该漏洞尚未被添加到CISA KEV目录。

哪些人处于风险中翻译中…

File Browser installations where administrators have access to modify branding settings are at risk. This includes shared hosting environments where multiple users may share a single File Browser instance and one administrator could compromise the entire system. Legacy File Browser deployments running older, unpatched versions are particularly vulnerable.

检测步骤翻译中…

• linux / server: Examine File Browser configuration files for suspicious JavaScript code in the branding.name field. Use grep to search for potentially malicious payloads.

grep -r 'alert(' /path/to/filebrowser/config.yml

• generic web: Monitor File Browser access logs for requests to modify the branding configuration. Look for unusual user agents or IP addresses.

curl -I http://your-filebrowser-instance/branding

• wordpress / composer / npm: (Not applicable, as File Browser is not a WordPress plugin or Node.js package) • database (mysql, redis, mongodb, postgresql): (Not applicable, as File Browser does not directly store branding information in a database) • windows / supply-chain: (Not applicable, as File Browser is not a Windows application)

攻击时间线

2026-03-31Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.06% (19% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件github.com/filebrowser/filebrowser/v2

供应商osv

影响范围修复版本

< 2.62.2 – < 2.62.22.62.3

—2.62.2

弱点分类 (CWE)

CWE-79

时间线

已保留2026-03-30
发布日期2026-03-31
修改日期2026-04-06
EPSS 更新日期2026-04-09

缓解措施和替代方案

修复此漏洞的首要措施是立即升级至 filebrowser/filebrowser/v2 2.62.2 或更高版本。如果无法立即升级，可以考虑以下缓解措施：首先，严格审查和验证所有管理员设置的branding字段，避免包含任何可疑字符。其次，如果可能，限制对File Browser管理界面的访问，只允许授权用户进行配置。此外，可以考虑使用Web应用防火墙（WAF）来过滤恶意payload，并定期扫描File Browser实例，以检测潜在的攻击迹象。升级后，请确认新版本已正确安装并配置，并且branding字段没有被恶意篡改。

修复方法

将 File Browser 更新到 2.62.2 或更高版本。此版本修复了存储型跨站脚本 (XSS) 漏洞。更新将防止恶意管理员注入对所有访问者执行的持久性 JavaScript 代码。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-34530 — XSS 在 filebrowser/filebrowser/v2 中?

CVE-2026-34530 是 filebrowser/filebrowser/v2 中的一个跨站脚本攻击（XSS）漏洞，攻击者可以通过恶意payload设置branding.name字段，影响所有访问者。

我是否受到 CVE-2026-34530 在 filebrowser/filebrowser/v2 中影响?