Katalog CVE

CVE-2026-54088

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.53%

Percentyl 41 — wyżej niż 41% wszystkich znanych CVE

Streszczenie

File Browser przed wersją 2.63.6 zawierał lukę w funkcji Hook Authentication, która pozwalała na delegowanie weryfikacji logowania do zewnętrznego polecenia powłoki. Użytkownicy mogli wprowadzać dane logowania, które były interpolowane do tego polecenia bez sanitizacji, co umożliwiało atakującym zdalne wykonanie dowolnych poleceń systemowych.

Ocena ryzyka

Luka ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowanym atakującym wykonanie poleceń systemowych przed jakąkolwiek weryfikacją tożsamości. Może to prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację File Browser do wersji 2.63.6 lub nowszej, aby usunąć tę krytyczną podatność. Dodatkowo, warto rozważyć wprowadzenie dodatkowych środków zabezpieczających w celu ochrony przed podobnymi atakami.

Oryginalny opis (angielski, źródło NVD)

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.6, the Hook Authentication feature in File Browser allows administrators to delegate login verification to an external shell command. User-supplied credentials (username and password) are interpolated into this command string using os.Expand without sanitization. An unauthenticated remote attacker can inject shell metacharacters in the username or password field at the login screen, causing the server to execute arbitrary OS commands before any authentication takes place. This is a critical pre-authentication RCE. This vulnerability is fixed in 2.63.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS