Katalog CVE

CVE-2026-54094

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

File Browser przed wersją 2.63.14 nie blokuje obsługi plików HTTP przed podążaniem za linkami symbolicznymi, co pozwala użytkownikom na przekroczenie granic ich uprawnień.

Ocena ryzyka

Umożliwienie użytkownikom dostępu do plików poza ich zakresem może prowadzić do nieautoryzowanego dostępu do wrażliwych danych.

Rekomendacja

Zaleca się aktualizację do wersji 2.63.14 lub nowszej, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.14, it does not stop the HTTP file handlers from following symbolic links before they open, serve, write, share, or list a file. As a result, a scoped user — and in some cases an unauthenticated public-share recipient — can cross the intended scope boundary by following a symlink whose path is lexically inside their scope but whose target is outside it. This vulnerability is fixed in 2.63.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS