CVE-2026-55667
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
W File Browser przed wersją 2.63.16, uwierzytelniony użytkownik z jedynie uprawnieniem Create może usuwać pliki poza swoim zakresem (w tym dane innych użytkowników i bazę danych aplikacji) poprzez wykorzystanie ścieżki czyszczenia po nieudanym przesyłaniu plików. Metoda ScopedFs.RemoveAll pomija zabezpieczenia przed dowiązaniami symbolicznymi, a procedura obsługi bezpośredniego przesyłania wywołuje ją na ścieżce kontrolowanej przez użytkownika.
Ocena ryzyka
Atakujący może usunąć krytyczne pliki systemowe, dane innych dzierżawców lub bazę danych aplikacji, co prowadzi do utraty danych, przerwania działania usługi i naruszenia integralności systemu.
Rekomendacja
Niezwłocznie zaktualizuj File Browser do wersji 2.63.16 lub nowszej. Jeśli aktualizacja nie jest możliwa, ogranicz uprawnienia Create tylko do zaufanych użytkowników i monitoruj logi pod kątem podejrzanych operacji usuwania.
Oryginalny opis (angielski, źródło NVD)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.16, a scoped, non-admin File Browser user holding only the Create permission can delete arbitrary files outside their scope (other tenants' data, and the application's own database) via the upload failure-cleanup path. ScopedFs.RemoveAll is the one dereferencing operation that skips the symlink guard every other method enforces. The direct-upload handler runs RemoveAll on the user-controlled path during failed-upload cleanup, gated only by Perm.Create. If an escaping directory symlink already exists inside the user's scope, an authenticated create-only user can delete an out-of-scope target, bypassing both the ScopedFs boundary and the Perm.Delete gate. This vulnerability is fixed in 2.63.16.

