CVE-2025-52904

Nome do Software Vulnerável e Versões Afetadas: Versões do File Browser 1.11.0 e anteriores, e 2.32.0 até 2.35.0

Descrição: O File Browser fornece uma interface de gerenciamento de arquivos. O recurso de Execução de Comandos permite a execução de comandos shell sem as devidas restrições de escopo, potencialmente concedendo a um atacante acesso de leitura e escrita a todos os arquivos gerenciados pelo servidor, incluindo hashes de senha. A exploração pode levar ao comprometimento do banco de dados, extração de senhas ou personificação de usuário. Estima-se que aproximadamente 3300 instâncias do File Browser na Runet sejam vulneráveis, com mais de 71% potencialmente suscetíveis a ataques.

Recomendações: Versões do File Browser 1.11.0 e anteriores: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do File Browser 2.32.0 até 2.35.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Desative a função Execute commands para todas as contas. Execute o File Browser a partir de uma imagem de container distroless se a execução de comandos não for necessária. Restrinja o processo do File Browser quando ele for iniciado, por exemplo, usando namespaces de usuário e Bubblewrap. Configure permissões restritas para arquivos e banco de dados.