Filebrowser
Уязвимости
32
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.06663
Распределение по критичности
Критический
4
Высокий
14
Средний
14
Низкий
0
Затронутые диапазоны версий
2.0.0–2.63.1< 2.18.0< 2.25.0< 2.33.10< 2.33.7< 2.34.1< 2.45.1< 2.55.0< 2.57.1< 2.57.2< 2.61.0< 2.61.1< 2.62.0< 2.62.2< 2.63.1≤ 1.2.9≤ 2.32.0≤ 2.33.0≤ 2.33.8≤ 2.35.0≤ 2.61.2≤ 2.63.0
Также сопоставлено как (исходные строки): filebrowser
Топ уязвимостей
CVE-2026-32760File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. В версиях 2.61.2 и ниже любой неаутентированный посетитель может зарегистрировать полную учетную запись администратора при включении саморегистрации (подписание = true) и разрешения пользователя по умолчанию имеют perm.admin = true. Обработчик регистрации слепо применяет все настройки по умолчанию (включая Perm.Admin) к новому пользователю без какой-либо защиты на стороне сервера, которая удаляет администратор из саморегистрированных учетных записей. Предполагается, что signupHandler создаст непривилегированные учетные записи для новых посетителей. Он не содержит явного пользователя.Perm.Admin = ложная сброс после применения дефолтов. Если администратор (намеренно или случайно) настраивает defaults.perm.admin = true, а также позволяет зарегистрироваться, каждая учетная запись, созданная через конечную точку публичной регистрации, является администратором с полным контролем над всеми файлами, пользователями и настройками сервера. Этот вопрос решен в версии 2.62.0.
CVE-2026-34528File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До версии 2.62.2 callpHandler в файловом брюзове применяет разрешения пользователя по умолчанию через d.settings.Defaults.Apply(user), а затем удаляет только Admin. Список разрешений и команд Execute из шаблона пользователя по умолчанию не удаляется. Когда администратор включил регистрацию, выполнение на стороне сервера и настройку Execute=true в шаблоне пользователя по умолчанию, любой пользователь с автоответчиком, который самостоятельно регистрирует, наследует возможности выполнения оболочки и может выполнять произвольные команды на сервере. Этот вопрос был исправлен в версии 2.62.2.
CVE-2026-34529File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До версии 2.62.2 функция предварительного просмотра EPUB в File Browser уязвима для хранимого кросс-сайта (XSS). JavaScript, встроенный в созданный файл EPUB, выполняется в браузере жертвы при предварительном просмотре файла. Этот вопрос был исправлен в версии 2.62.2.
CVE-2023-39612Уязвимость межсайтового скриптинга (XSS) в FileBrowser до версии v2.23.0 позволяет аутентифицированному злоумышленнику повысить свои привилегии до администратора через взаимодействие пользователя со специально созданным HTML-файлом или URL-адресом.
CVE-2026-35607File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До 2.63.1 исправление в commit b6a4fb1 («саморегистрированные пользователи не получают исполнительные завивки») убрало разрешение и команды с пользователей, созданных через обработчик регистрации. Такое же исправление не применялось к обработчику прокси-автомата. Пользователям, автоматически созданным на первом успешном входе в прокси-автов, предоставляются возможности исполнения по глобальным дефолтам, даже несмотря на то, что путь регистрации был явно изменен, чтобы предотвратить наследование прав на исполнение автоматически обеспеченных учетных записей. Эта уязвимость зафиксирована в пункте 2.63.1.
CVE-2021-46398В Filebrowser < 2.18.0 существует уязвимость Cross-Site Request Forgery, которая позволяет злоумышленникам создавать backdoor пользователя с правами администратора и получать доступ к файловой системе через вредоносную HTML-страницу, которая отправляется жертве. Администратор может выполнять команды, используя FileBrowser, и, следовательно, это приводит к RCE.
CVE-2026-35604File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До 2.63.1, когда администратор отзывает разрешения пользователя на долю и загрузку, существующие ссылки на акции, созданные этим пользователем, остаются полностью доступными для пользователей без аутентификации. Обработчик публичной загрузки акций не перепроверяет текущие разрешения владельца акций. Эта уязвимость исправлена в 2.63.1.
CVE-2026-29188File Browser предоставляет интерфейс управления файлами в указанном каталоге, и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. До версии 2.61.1 сломанная уязвимость контроля доступа в конечной точке протокола TUS DELETE позволяет аутентифицированным пользователям только с разрешением Создавать удаление произвольных файлов и каталогов в пределах их объема, минуя предполагаемое ограничение разрешения Delete. Любое многопользовательское развертывание, в котором администраторы явно ограничивают удаление файлов для определенных пользователей, затрагивается. Этот вопрос был исправлен в версии 2.61.1.
CVE-2026-25890File Browser предоставляет интерфейс управления файлами в указанном каталоге и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. До 2.57.1 аутентифицированный пользователь может обойти правила пути «Disallow» приложения, изменив URL-адрес запроса. Добавляя несколько слэшей (например, //private/) к пути, проверка авторизации не соответствует правилу, в то время как лежащая в основе файловая система правильно разрешает путь, предоставляя несанкционированный доступ к файлам с ограниченным доступом. Эта уязвимость зафиксирована в 2.57.1.
CVE-2025-52904Файловый Браузер предоставляет интерфейс управления файлами в указанном каталоге, и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. В версиях веб-приложения на ветке 2.x все пользователи имеют заданную область применения, и они имеют доступ только к файлам в пределах этой области. Функция выполнения Command Filebrowser позволяет выполнять команды оболочки, которые не ограничены прицелом, потенциально давая злоумышленнику возможность читать и записывать доступ ко всем файлам, управляемым сервером. До тех пор, пока эта проблема не будет устранена, сопровождение рекомендует полностью отключить команды «Выполнять» для всех учетных записей. Поскольку выполнение команды является по своей сути опасной функцией, которая не используется всеми развертываниями, она должна быть возможной полностью отключить ее в конфигурации приложения. Эта функция была отключена по умолчанию для всех установок с v2.33.8 и далее, в том числе для существующих установок. Чтобы использовать эту уязвимость, администратор экземпляра должен включить функцию и игнорировать все предупреждения об известных уязвимостях.
CVE-2025-52903Файловый Браузер предоставляет интерфейс управления файлами в указанном каталоге, и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. В версиях на ветке 2.30.10 до 2.33.10 функция выполнения командования файлового Браузера позволяет выполнять только команду оболочки, которая была предопределёна в списке разрешений, специфичном для пользователя. Многие инструменты позволяют выполнять произвольные различные команды, что делает это ограничение недействительным. Конкретное воздействие зависит от команд, предоставляемых злоумышленнику, но большое количество стандартных команд, позволяющих выполнять подкоманды, делает вероятным, что каждый пользователь, имеющий разрешения «Выполнять команды», может использовать эту уязвимость. Каждый, кто может использовать его, будет иметь полные права на исполнение кода с помощью серверного процесса. Версия 2.33.10 содержит проверку на предмет того, разрешена ли команда при использовании оболочки.
CVE-2025-53893File Browser предоставляет интерфейс управления файлами в указанной директории и может быть использован для загрузки, удаления, просмотра, переименования и редактирования файлов. В версии 2.38.0 существует уязвимость DoS в логике обработки файлов при чтении файла на эндпоинте `Filebrowser-Server-IP:PORT/files/{file-name}`. Сервер корректно обрабатывает и хранит загруженные файлы, но при чтении пытается загрузить весь контент в память без проверки размера или ограничения ресурсов. Это позволяет аутентифицированному пользователю загрузить большой файл и вызвать неуправляемое потребление памяти при чтении, потенциально приводя к краху сервера и делая его неработоспособным [1][2].
Источники:
- [1] https://github.com/filebrowser/filebrowser/security/advisories/GHSA-7xqm-7738-642x
- [2] https://github.com/filebrowser/filebrowser/issues/5294
CVE-2025-53826File Browser предоставляет интерфейс для управления файлами в указанной директории и может быть использован для загрузки, удаления, просмотра, переименования и редактирования файлов. В версии 2.39.0 система аутентификации File Browser выдает долгоживущие JWT-токены, которые остаются действительными даже после выхода пользователя из системы. На момент публикации не существует известных патчей. JWT-токены остаются действительными после выхода пользователя, что может привести к атакам повторного воспроизведения сессии. Это нарушает правило OWASP Top 10 A2:2021 - Broken Authentication. Рекомендуется сделать недействительными JWT-токены при выходе пользователя или использовать короткоживущие токены с токенами обновления. Источники: [1] https://github.com/filebrowser/filebrowser/security/advisories/GHSA-7xwp-2cpp-p8r7, [2] https://github.com/filebrowser/filebrowser/issues/5216
Источники:
- [1] https://github.com/filebrowser/filebrowser/security/advisories/GHSA-7xwp-2cpp-p8r7
- [2] https://github.com/filebrowser/filebrowser/issues/5216
CVE-2026-35585File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. От 2.0.0 до 2.33.8 система крючков в File Browser, которая выполняет определяемые администратором команды оболочки в событиях файлов, таких как загрузка, переименование и удаление, уязвима для инъекции команд ОС. Переменное замещение таких значений, как $FILE и $USERNAME, выполняется через os.Expand без дезинфекции. Злоумышленник с разрешением на запись файлов может создать вредоносное имя файла, содержащее метахарактеры оболочки, в результате чего сервер выполняет произвольные команды ОС при возгорании крючка. Это приводит к удаленному исполнению кода (RCE). Эта функция была отключена по умолчанию для всех установок с v2.33.8 и далее, в том числе для существующих установок.
CVE-2026-30933FileBrowser Quantum - это бесплатный, самостоятельный веб-диапастер файлов. До 1.3.1-бета и 1,2.2-стабильного восстановления для CVE-2026-27611 является неполным. Пароль защищенные акции по-прежнему раскрывают токенизированные загрузки через /public/api/share/info. Эта уязвимость фиксируется в 1.3.1-бета и 1.2.2-стабильном.
CVE-2025-52997File Browser предоставляет интерфейс управления файлами в указанном каталоге, и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. До версии 2.34.1 отсутствующая политика паролей и защита от грубой силы делают процесс аутентификации небезопасным. Нападающие могут организовать атаку грубой силы, чтобы получить пароли всех учетных записей в данном случае. Этот вопрос исправлен в версии 2.34.1.
CVE-2025-64523File Browser предоставляет интерфейс управления файлами в указанном каталоге, и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. Версии до 2.45.1 имеют уязвимость Insecure Direct Object Reference (IDOR) в функции удаления акций приложения FileBrowser. Эта уязвимость позволяет любому аутентифицированному пользователю с разрешениями на акции удалять общие ссылки других пользователей без проверки авторизации. Влияние значительно, поскольку злоумышленники могут нарушить бизнес-операции, систематически удаляя общие файлы и ссылки. Это приводит к отказу в обслуживании законных пользователей, потенциальной потере данных в совместных средах и нарушению соглашений о конфиденциальности данных. В организационных условиях это может повлиять на критический обмен файлами для проектов, презентаций или совместной работы с документами. Версия 2.45.1 содержит исправление проблемы.
CVE-2026-28492Файловый браузер предоставляет интерфейс управления файлами в указанном каталоге и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. До версии 2.61.0, когда пользователь создает публичную ссылку для обмена каталогом, промежуточное повествование withHashFile в http/public.go использует filepath.Dir(link.Path) для вычисления корня BasePathFs. Это устанавливает корень файловой системы в родительский каталог вместо самого общего каталога, позволяя любому, у кого есть ссылка на общий доступ, просматривать и загружать файлы из всех каталогов братьев и сестер. Этот вопрос был исправлен в версии 2.61.0.
CVE-2026-34530File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До версии 2.62.2 страница индекса SPA в файловом брюйзере уязвима для хранимого кросс-сайта (XSS) через поля брендинга, контролируемые администраторами. Админ, который устанавливает branding.name на вредоносную полезную нагрузку, вводит постоянный JavaScript, который выполняется для ВСЕХ посетителей, включая неаутентированных пользователей. Этот вопрос был исправлен в версии 2.62.2.
CVE-2025-52995File Browser предоставляет интерфейс управления файлами в указанном каталоге и может использоваться для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. До версии 2.33.10 реализация разрешающего списка является ошибочной, что позволяет пользователю выполнять больше команд оболочки, чем они разрешены. Конкретное воздействие этой уязвимости зависит от сконфигурированных команд и биновых файлов, установленных на сервере или в образе контейнера. Из-за отсутствующего разделения объемов на уровне ОС это может дать злоумышленнику доступ ко всем файлам, управляемым приложением, включая базу данных файлов. Этот вопрос исправлен в версии 2.33.10.
CVE-2026-32761File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. Версии 2.61.0 и ниже содержат обход правоохранительных разрешений, который позволяет пользователям, которым отказывают в привилегиях загрузки (perm.download = false), но предоставленные привилегии на акции (perm.share = true) эксфильтровать содержимое файла путем создания общедоступных ссылок на акции. В то время как прямая конечная точка загрузки (/api/raw/) правильно обеспечивает разрешение на загрузку, конечная точка создания общего доступа проверяет только Perm.Share, а обработчик публичной загрузки (/api/public/dl/<hash>) подает содержимое файла без проверки того, что у владельца оригинального файла есть разрешение на загрузку. Это означает, что любой аутентифицированный пользователь с доступом к совместному доступу может обойти ограничения на загрузку, поделившись файлом, а затем извлекая его через неаутифицированный URL-адрес публичной загрузки. Уязвимость подрывает политику предотвращения потери данных и разделения ролей, поскольку пользователи с ограниченным доступом могут публично распространять файлы, которые они явно блокируются от прямых загрузок. Эта проблема исправлена в версии 2.62.0.
CVE-2026-32758File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. Версии 2.61.2 и ниже уязвимы для Path Traversal через ресурсPatchHandler (http/resource.go). Путь назначения в ресурсеPatchHandler проверяется по правилам доступа перед очисткой / нормализацией, в то время как фактическая операция файлов вызывает путь.Clean() впоследствии - разрешение .. последовательности в другой эффективный путь. Это позволяет аутентифицированному пользователю с разрешениями Создать или Переименовать правила отказа, настроенные администратором (как на основе префикса, так и на основе регекса), путем введения последовательностей в параметр назначения запроса PATCH. В результате пользователь может записывать или перемещать файлы в любой путь, защищенный от запрета, в пределах их объема. Однако это не может быть использовано, чтобы избежать объема BasePathFs пользователя или читать с ограниченных путей. Эта проблема исправлена в версии 2.62.0.
CVE-2025-52901Файловый браузер предоставляет интерфейс управления файлами в указанном каталоге и его можно использовать для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. До версии 2.33.9 в качестве параметров GET используются токены доступа. Веб-токен JSON (JWT), который используется в качестве идентификатора сеанса, будет просочиться к любому, у кого есть доступ к URL-адресам, к которым обращается пользователь. Это даст злоумышленнику полный доступ к учетной записи пользователя и, как следствие, ко всем конфиденциальным файлам, к которым пользователь имеет доступ. Этот вопрос был исправлен в версии 2.33.9.
CVE-2026-35605File Browser - это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До 2.63.1 функция Matches() в правилах/rules.go использует strings.HasPrefix() без сепаратора каталога при сопоставлении путей с правилами доступа. Правило для /uploads также соответствует /uploads_backup/, предоставляя или отказывая в доступе к непреднамеренным каталогам. Эта уязвимость исправлена в 2.63.1.
CVE-2025-52900File Browser предоставляет интерфейс управления файлами в указанном каталоге и может использоваться для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов. Править доступа к файлам для файлов, загруженных или созданных из File Browser, никогда явно не устанавливаются приложением. То же самое относится и к базе данных, используемой File Browser. На стандартных серверах, использующих браузер файлов до версии 2.33.7, где конфигурация umask ранее не была закалена, это делает все заявленные файлы читаемыми любой учетной записью операционной системы. Версия 2.33.7 решает проблему.