CRITICAL🇬🇧 English

CVE-2026-29188

Broken Access Control w File Browser — usuwanie plików bez uprawnień

CVSS 9.1v3.1pub. 2026-03-05upd. 2026-03-10

Podatność w aplikacji File Browser umożliwia uwierzytelnionym użytkownikom posiadającym wyłącznie uprawnienie Create usuwanie dowolnych plików i katalogów w swoim zakresie, omijając ograniczenia uprawnień Delete. Stanowi to poważne zagrożenie dla środowisk wieloużytkownikowych, w których administratorzy celowo ograniczają możliwość usuwania plików.

Pokaż oryginał (EN)

File Browser provides a file managing interface within a specified directory and it can be used to upload, delete, preview, rename and edit files. Prior to version 2.61.1, a broken access control vulnerability in the TUS protocol DELETE endpoint allows authenticated users with only Create permission to delete arbitrary files and directories within their scope, bypassing the intended Delete permission restriction. Any multi-user deployment where administrators explicitly restrict file deletion for certain users is affected. This issue has been patched in version 2.61.1.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli dostępu (broken access control) w endpoincie DELETE protokołu TUS, wykorzystywanego do przesyłania plików. Protokół TUS obsługuje wznawialne przesyłanie plików, a jego endpoint DELETE nie weryfikuje poprawnie, czy wywołujący użytkownik posiada uprawnienie Delete — sprawdzane jest jedynie uprawnienie Create. W efekcie uwierzytelniony użytkownik z uprawnieniem Create może wysyłać żądania DELETE do endpointu TUS i usuwać pliki oraz katalogi, do których normalnie nie miałby prawa usunięcia.

Skutki

Atakujący z uprawnieniem Create może trwale usunąć dowolne pliki i katalogi w swoim zakresie, omijając politykę kontroli dostępu ustanowioną przez administratora. Może to prowadzić do utraty danych oraz naruszenia integralności i dostępności przechowywanych zasobów.

Mitygacja

Należy zaktualizować File Browser do wersji 2.61.1 lub nowszej, w której podatność została załatana. Szczegóły dostępne w oficjalnym wydaniu: https://github.com/filebrowser/filebrowser/releases/tag/v2.61.1

Kogo dotyczy

File Browser (filebrowser/filebrowser) w wersjach wcześniejszych niż 2.61.1. Dotyczy wyłącznie wdrożeń wieloużytkownikowych, w których administratorzy jawnie ograniczają uprawnienia do usuwania plików dla określonych użytkowników.

Uwagi

Podatność zgłoszona i naprawiona w ramach procesu security advisory GitHub (GHSA-79pf-vx4x-7jmm). Poprawka dostępna w commicie 7ed1425115be602c2b23236c410098ea2d74b42f.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Filebrowser

    APP
    Filebrowser
    < 2.61.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-32760CRITICAL10.0PL ✓ten sam produkt

File Browser: niezabezpieczona rejestracja konta administratora bez uwierzytelnienia

CVE-2023-39612CRITICAL9.0ten sam produkt

A cross-site scripting (XSS) vulnerability in FileBrowser before v2.23.0 allows an authenticated attacker to e...

CVE-2026-35604HIGH8.2ten sam produkt

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...

CVE-2026-35585HIGH7.5ten sam produkt

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...

CVE-2026-35607HIGH8.1ten sam produkt

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...