Katalog CVE

CVE-2026-54096

WysokieCVSS 8.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

File Browser przed wersją 2.63.7 pozwalał na tworzenie publicznych udostępnień dla dowolnej ścieżki bez weryfikacji istnienia pliku. Gdy plik został utworzony w tej samej lokalizacji, udostępnienie stawało się natychmiast aktywne, co prowadziło do nieautoryzowanego dostępu do plików.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych plików, co może prowadzić do wycieku danych lub naruszenia prywatności.

Rekomendacja

Zaleca się aktualizację File Browser do wersji 2.63.7 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu istniejących publicznych udostępnień.

Oryginalny opis (angielski, źródło NVD)

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.7, `POST /api/share/<path>` accepts an authenticated request for an arbitrary path and stores a public share record without checking whether the target file currently exists. Later, when a file is created at that same path, the previously created public share immediately becomes valid and exposes the new file through `GET /api/public/dl/<hash>`. This vulnerability is fixed in 2.63.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS