CVE-2026-54093
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Podatność w File Browser przed wersją 2.63.6 pozwala na zapisanie plików z nazwami zawierającymi znaki backslash, co może prowadzić do nieautoryzowanego zapisu plików poza katalogiem docelowym podczas ekstrakcji archiwum na systemach Windows.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do systemów plików, co może prowadzić do utraty danych lub wprowadzenia złośliwego oprogramowania.
Rekomendacja
Zaleca się aktualizację File Browser do wersji 2.63.6 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.6, filebrowser builds the download-as-zip / download-as-tar archive entry names with filepath.ToSlash, which on a Linux host is a no-op for backslashes (\ is only a path separator on Windows). A file whose name contains Windows-style traversal is accepted by the resource handlers, stored on the Linux filesystem with a literal backslash name, and then emitted verbatim as the archive entry name. Windows extractors interpret \ as a path separator and write the extracted file outside the extraction directory — arbitrary file write on the victim who downloads and extracts the archive. This vulnerability is fixed in 2.63.6.

