CVE-2026-54097
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
File Browser przed wersją 2.63.6 zawiera podatność, w której niskouprzywilejowany, uwierzytelniony użytkownik z uprawnieniami do tworzenia i usuwania plików w swoim izolowanym zakresie może trwale usunąć rekordy linków udostępniania należące do innych użytkowników, w tym administratora. Dzieje się tak poprzez wykonanie legalnej operacji DELETE na pliku, którego ścieżka logiczna jest prefiksem bajtowym ścieżki przechowywanej w linku udostępniania innego użytkownika.
Ocena ryzyka
Atakujący może zniszczyć linki udostępniania ofiary, co prowadzi do utraty dostępu do udostępnionych plików i potencjalnego zakłócenia pracy organizacji. Treść plików ofiary nie jest ujawniana, ale linki są nieodwracalnie usuwane.
Rekomendacja
Należy niezwłocznie zaktualizować File Browser do wersji 2.63.6 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.6, a low-privileged authenticated user of filebrowser (with create + delete permissions in their own isolated scope) can silently destroy share-link records belonging to any other user — including the administrator — by performing a legitimate DELETE on a file in their own directory whose logical path happens to be a byte-prefix of another user's stored share.Link.Path. The file contents of the victim are not exposed, but the victim's share links are irrevocably wiped. This vulnerability is fixed in 2.63.6.

