CVE-2025-62509

Nome do Software Vulnerável e Versões Afetadas Versões do FileRise anteriores a 1.4.0

Descrição O FileRise é um gerenciador de arquivos baseado na web e auto-hospedado. Uma falha na manipulação de arquivos/pastas permite que usuários com baixos privilégios realizem operações não autorizadas (visualizar, excluir, modificar) em arquivos criados por outros usuários. Isso ocorre devido à inferência de propriedade/visibilidade a partir dos nomes das pastas e à falta de verificações de autorização no lado do servidor. Este problema representa um padrão IDOR (Referência Direta a Objetos Inseguros), onde um atacante pode operar em recursos identificados por nomes previsíveis. As operações vulneráveis ocorrem através de endpoints de operações de arquivos.

Recomendações Atualize para a versão 1.4.0 ou posterior. Como solução alternativa, restrinja usuários não administradores ao acesso somente leitura. Como solução alternativa, desabilite as APIs de exclusão/renomeação no lado do servidor. Evite criar pastas de nível superior com nomes de outros usuários. Adicione verificações no lado do servidor para validar a propriedade antes de operações de exclusão, renomeação ou movimentação.