CVE-2026-54091
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
File Browser przed wersją 2.63.6 zawiera podatność polegającą na błędnym przetwarzaniu ścieżek w publicznych udostępnieniach. Atakujący znający adres URL publicznego katalogu może ominąć reguły blokowania dostępu do plików i podkatalogów, które znajdują się poniżej udostępnionego katalogu. Problem wynika z tego, że system ponownie ustawia korzeń systemu plików na udostępniony katalog, a następnie ocenia ścieżki względem niego, zamiast względem oryginalnego zakresu właściciela.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym ujawnieniu danych – osoba atakująca, znając adres URL publicznego udostępnienia, może uzyskać dostęp do plików i katalogów, które właściciel wyraźnie zablokował za pomocą reguł. Może to prowadzić do wycieku poufnych informacji bez konieczności uwierzytelniania.
Rekomendacja
Należy niezwłocznie zaktualizować File Browser do wersji 2.63.6 lub nowszej, która zawiera poprawkę usuwającą tę podatność. Po aktualizacji zaleca się również przejrzenie i ewentualne dostosowanie reguł dostępu do udostępnionych katalogów.
Oryginalny opis (angielski, źródło NVD)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.6, File Browser's public share handlers rebase the share owner's filesystem root to the shared directory and then evaluate descendant paths against the owner's global and per-user rules using the rebased relative path instead of the original path relative to the owner's scope. As a result, an attacker who knows a public directory share URL can access files and subdirectories that the owner explicitly blocked with rules, as long as those blocked paths are located underneath the shared directory. In the simplest case this is an unauthenticated information disclosure through `GET /api/public/share/*` and `GET /api/public/dl/*`. This vulnerability is fixed in 2.63.6.

