Katalog CVE

CVE-2026-54090

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

File Browser przed wersją 2.33.8 umożliwia ominięcie listy dozwolonych poleceń poprzez użycie metaznaków powłoki. Lista dozwolonych poleceń sprawdza tylko pierwszy token wprowadzonego polecenia, ale cały surowy ciąg znaków jest przekazywany do powłoki, co pozwala na wykonanie dowolnych poleceń po dozwolonym.

Ocena ryzyka

Atakujący może wykonać dowolne polecenia systemowe na serwerze, co może prowadzić do przejęcia kontroli nad aplikacją, kradzieży danych lub dalszego ataku na infrastrukturę.

Rekomendacja

Należy natychmiast zaktualizować File Browser do wersji 2.33.8 lub nowszej, która zawiera poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.33.8, when a shell interpreter is configured (e.g. /bin/sh -c), the command allowlist can be bypassed through shell metacharacters. The allowlist validates only the first token of user input, but the entire raw string is handed to the shell — semicolons, pipes, backticks, and $() all work to chain arbitrary commands after a permitted one. This vulnerability is fixed in 2.33.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS