CVE-2026-29188

Nome do Software Vulnerável e Versões Afetadas Versões do File Browser anteriores à 2.61.1

Descrição O File Browser inclui uma interface de gerenciamento de arquivos que permite aos usuários enviar, excluir, visualizar, renomear e editar arquivos dentro de um diretório especificado. Existe uma falha no controle de acesso no endpoint DELETE do protocolo TUS. Isso permite que usuários autenticados com apenas a permissão de Criar excluam arquivos e diretórios arbitrários dentro de seu escopo, contornando a restrição de permissão de Excluir pretendida. Implantações com múltiplos usuários onde administradores restringem a exclusão de arquivos para certos usuários são afetadas. O problema origina-se de uma verificação de permissão incorreta dentro da função tusDeleteHandler, que usa Perm.Create em vez de Perm.Delete. O código vulnerável está localizado em http/tus handlers.go. A função tusDeleteHandler controla o acesso à operação DELETE de forma incorreta. A resourceDeleteHandler correta em http/resource.go verifica corretamente Perm.Delete. Essa inconsistência significa que as solicitações DELETE para /api/tus/{path} e /api/resources/{path} aplicam modelos de permissão diferentes para a mesma operação no sistema de arquivos. O endpoint TUS, destinado a uploads retomáveis, remove permanentemente arquivos do sistema de arquivos, independentemente de como o upload foi iniciado. Um atacante com permissão de Criar pode contornar a restrição de permissão de Excluir pretendida iniciando um upload TUS contra o caminho de destino e, em seguida, emitindo uma solicitação DELETE TUS.

Recomendações Versões anteriores à 2.61.1 devem ser atualizadas para a versão 2.61.1 ou posterior.