W aplikacji File Browser w wersjach 2.61.2 i wcześniejszych każdy nieuwierzytelniony użytkownik może samodzielnie zarejestrować konto z pełnymi uprawnieniami administratora, jeśli włączona jest opcja samorejestracji (signup = true) oraz domyślne uprawnienia zawierają perm.admin = true. Podatność umożliwia przejęcie pełnej kontroli nad serwerem przez dowolną osobę z dostępem do publicznego endpointu rejestracji.
▸ Pokaż oryginał (EN)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. In versions 2.61.2 and below, any unauthenticated visitor can register a full administrator account when self-registration (signup = true) is enabled and the default user permissions have perm.admin = true. The signup handler blindly applies all default settings (including Perm.Admin) to the new user without any server-side guard that strips admin from self-registered accounts. The signupHandler is supposed to create unprivileged accounts for new visitors. It contains no explicit user.Perm.Admin = false reset after applying defaults. If an administrator (intentionally or accidentally) configures defaults.perm.admin = true and also enables signup, every account created via the public registration endpoint is an administrator with full control over all files, users, and server settings. This issue has been resolved in version 2.62.0.
Procedura obsługi rejestracji (signupHandler) kopiuje do nowo tworzonego konta wszystkie domyślne ustawienia systemowe bez żadnej weryfikacji po stronie serwera, która usuwałaby flagę administratora z kont zakładanych przez publiczny endpoint. Brakuje jawnego resetu pola user.Perm.Admin = false po zastosowaniu domyślnej konfiguracji. Jeśli administrator — celowo lub przez pomyłkę — ustawi defaults.perm.admin = true i jednocześnie włączy funkcję signup, każde konto założone przez publiczny formularz rejestracji automatycznie otrzymuje uprawnienia administratora. Atakujący nie musi posiadać żadnych istniejących poświadczeń ani przeprowadzać żadnych dodatkowych kroków.
Atakujący uzyskuje pełną kontrolę nad aplikacją File Browser, w tym dostęp do wszystkich plików, możliwość zarządzania kontami innych użytkowników oraz modyfikację ustawień serwera. W efekcie możliwe jest odczytanie, usunięcie lub nadpisanie dowolnych plików przechowywanych w zarządzanym katalogu.
Należy zaktualizować File Browser do wersji 2.62.0, w której problem został rozwiązany. Do czasu aktualizacji należy natychmiast wyłączyć opcję samorejestracji (signup = false) lub upewnić się, że domyślne uprawnienia użytkownika nie zawierają flagi perm.admin = true.
File Browser w wersjach 2.61.2 i wcześniejszych, przy konfiguracji z włączoną samorejestrację (signup = true) oraz domyślnym ustawieniem perm.admin = true
Podatność dotyczy wyłącznie instalacji z jednoczesnym włączeniem samorejestracji (signup = true) i ustawieniem defaults.perm.admin = true — taka konfiguracja może wystąpić w wyniku błędu konfiguracyjnego administratora. Poprawka dostępna w commicie a63573b67eb302167b4c4f218361a2d0c138deab.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFilebrowser
APPFilebrowser< 2.62.0
Powiązane podatności
Broken Access Control w File Browser — usuwanie plików bez uprawnień
A cross-site scripting (XSS) vulnerability in FileBrowser before v2.23.0 allows an authenticated attacker to e...
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...