CVE-2026-54089
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
File Browser to interfejs zarządzania plikami, który od wersji 2.0.0-rc.1 pozwala na podszywanie się pod użytkowników, w tym administratorów, przez nieautoryzowanych atakujących. Wystarczy wysłać sfałszowany nagłówek HTTP, aby uzyskać dostęp bez potrzeby podawania danych uwierzytelniających.
Ocena ryzyka
Organizacja jest narażona na poważne ryzyko, ponieważ atakujący może uzyskać pełny dostęp do systemu, w tym możliwość tworzenia nowych kont użytkowników bez autoryzacji. To stwarza potencjalne zagrożenie dla integralności i poufności danych.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie File Browser do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do serwera tylko dla autoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Starting with 2.0.0-rc.1, when FileBrowser is configured with proxy authentication (auth.method=proxy), any unauthenticated attacker who can reach the server directly can impersonate any user - including admin - by sending a single forged HTTP header. No credentials are required. Additionally, specifying a non-existent username causes the server to automatically create a new user account, providing an account creation primitive with no authorization. This is an already known issue that has been documented in the documentation for several years, but has not been documented as a vulnerability before.

