Mdcoxe

**Nome do Software Vulnerável e Versões Afetadas** Versões do FileBrowser anteriores a 1.3.1-beta e 1.2.2-stable **Descrição** Uma remediação incompleta para um problema anterior permite a divulgação de URLs de download tokenizadas via o endpoint `/public/api/share/info` para compartilhamentos protegidos por senha. O problema surge porque as URLs de download tokenizadas são gravadas no modelo de compartilhamento persistente e o endpoint público não limpa o `DownloadURL` antes de retornar as informações do compartilhamento. Isso permite que um atacante não autenticado recupere arquivos compartilhados protegidos por senha sem a senha, resultando em bypass de autenticação e acesso não autorizado a arquivos. O endpoint vulnerável é `/public/api/share/info`, que retorna informações do compartilhamento incluindo o `DownloadURL`. O parâmetro `DownloadURL` contém um token que concede acesso ao arquivo compartilhado. O código vulnerável está localizado em `backend/http/share.go` (especificamente a função `convertToFrontendShareResponse`) e `backend/share.go` (especificamente o método `shareInfoHandler`). **Recomendações** Versões anteriores a 1.3.1-beta devem ser atualizadas. Versões anteriores a 1.2.2-stable devem ser atualizadas. Sanitizar o `DownloadURL` nas respostas de informações de compartilhamento público definindo `commonShare.DownloadURL = ""` antes de retornar a resposta JSON no método `shareInfoHandler` localizado em `backend/share.go`.