PT-2026-21839 · Unknown · Filebrowser Quantum
Byteafterlife
·
Publicado
2026-02-25
·
Atualizado
2026-03-18
·
CVE-2026-27611
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
FileBrowser Quantum versões anteriores a 1.1.3-stable
FileBrowser Quantum versões anteriores a 1.2.6-beta
Descrição
O FileBrowser Quantum é um gerenciador de arquivos baseado na web e autohospedado. Antes das versões 1.1.3-stable e 1.2.6-beta, existia uma falha na qual compartilhamentos de arquivos protegidos por senha podiam ser contornados, permitindo acesso não autorizado para download. O problema ocorria porque a API retornava um link de download direto dentro dos detalhes do compartilhamento, acessível apenas com o link do compartilhamento, contornando o requisito de senha. O endpoint da API vulnerável fornece acesso ao arquivo sem autenticação. O
link do compartilhamento é o parâmetro vulnerável.Recomendações
Atualize para a versão 1.1.3-stable ou posterior do FileBrowser Quantum.
Atualize para a versão 1.2.6-beta ou posterior do FileBrowser Quantum.
Exploit
Correção
Information Disclosure
Improper Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Filebrowser Quantum