CVE-2026-30934

Nome do Software Vulnerável e Versões Afetadas Versões do FileBrowser anteriores a 1.3.1-beta Versões do FileBrowser anteriores a 1.2.2-stable

Descrição O FileBrowser é um gerenciador de arquivos baseado na web, gratuito e autohospedado. Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado devido ao uso de text/template em vez de html/template para renderizar campos de metadados de compartilhamento, como title e description, dentro do endpoint /public/share/<hash>. Isso permite que scripts injetados sejam executados quando uma vítima visita a URL de compartilhamento. O servidor renderiza public/index.html usando text/template e injeta campos de compartilhamento controlados pelo usuário em contextos HTML. Como os metadados de compartilhamento são persistentes, o payload torna-se armazenado e é executado sempre que uma vítima abre a página de compartilhamento afetada. Os caminhos de código relevantes incluem backend/http/static.go, backend/http/httpRouter.go e frontend/public/index.html. O impacto dessa vulnerabilidade inclui execução arbitrária de script na origem da aplicação, potencial comprometimento de conta ou sessão e exfiltração de dados. O XSS é armazenado e persistente, requerendo apenas o compartilhamento do link malicioso para exploração.

Recomendações Versões do FileBrowser anteriores a 1.3.1-beta devem ser atualizadas para a versão 1.3.1-beta ou posterior. Versões do FileBrowser anteriores a 1.2.2-stable devem ser atualizadas para a versão 1.2.2-stable ou posterior.