CVE-2026-28492

Nome do Software Vulnerável e Versões Afetadas File Browser versões anteriores a 2.61.0

Descrição O File Browser fornece uma interface de gerenciamento de arquivos. Existe uma vulnerabilidade em que a criação de um link público de compartilhamento para um diretório permite acesso não autorizado a diretórios irmãos e seus arquivos. O middleware withHashFile em http/public.go utiliza incorretamente filepath.Dir(link.Path) para determinar a raiz do sistema de arquivos, resultando no acesso ao diretório pai em vez do diretório compartilhado pretendido. Isso afeta os endpoints da API /api/public/share/{hash} (listagem de diretórios) e /api/public/dl/{hash}/path (download de arquivos). O parâmetro vulnerável é link.Path. Essa vulnerabilidade permite a divulgação não autorizada de informações, permitindo que qualquer pessoa com um link de compartilhamento navegue e baixe arquivos de diretórios fora do compartilhamento pretendido.

Recomendações Atualize o File Browser para a versão 2.61.0 ou posterior.