CVE-2026-34528

Nome do Software Vulnerável e Versões Afetadas: File Browser versões anteriores a 2.62.2

Descrição: O manipulador signupHandler do File Browser aplica incorretamente as permissões padrão do usuário. Especificamente, ele copia todas as permissões das configurações padrão e, em seguida, remove apenas a permissão de Administrador, deixando as permissões Executar e Comandos intactas. Se um administrador habilitar o registro, a execução do lado do servidor e definir Executar como verdadeiro no modelo de usuário padrão, um usuário não autenticado que se auto-registrar herdará as capacidades de execução de shell, permitindo que ele execute comandos arbitrários no servidor. O problema decorre da correção incompleta em um commit anterior que abordou apenas a permissão de Administrador. A vulnerabilidade permite que um invasor obtenha um comprometimento completo do servidor se o processo do File Browser for executado como root, ou um vetor de movimento lateral significativo caso contrário. O endpoint da API ''/api/signup'' é usado para auto-registro, e o endpoint WebSocket ''/api/command/'' é usado para execução de comandos. Os parâmetros vulneráveis são username e password durante o registro, e o parâmetro command através da conexão WebSocket. A função d.settings.Defaults.Apply(user) é responsável por aplicar as permissões padrão, e a função commandsHandler verifica a permissão d.user.Perm.Execute antes de executar comandos.

Recomendações: Atualize para a versão 2.62.2 ou posterior do File Browser.