CVE-2026-54096
WysokieCVSS 8.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
File Browser przed wersją 2.63.7 pozwalał na tworzenie publicznych udostępnień dla dowolnej ścieżki bez weryfikacji istnienia pliku. Gdy plik został utworzony w tej samej lokalizacji, udostępnienie stawało się natychmiast aktywne, co prowadziło do nieautoryzowanego dostępu do plików.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych plików, co może prowadzić do wycieku danych lub naruszenia prywatności.
Rekomendacja
Zaleca się aktualizację File Browser do wersji 2.63.7 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu istniejących publicznych udostępnień.
Oryginalny opis (angielski, źródło NVD)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.7, `POST /api/share/<path>` accepts an authenticated request for an arbitrary path and stores a public share record without checking whether the target file currently exists. Later, when a file is created at that same path, the previously created public share immediately becomes valid and exposes the new file through `GET /api/public/dl/<hash>`. This vulnerability is fixed in 2.63.7.

