CVE-2026-34529

Nome do Software Vulnerável e Versões Afetadas File Browser versões anteriores a 2.62.2

Descrição A função de visualização de EPUB do File Browser é suscetível a Cross-Site Scripting (XSS) armazenado. Um arquivo EPUB criado maliciosamente contendo JavaScript pode ser executado no navegador da vítima quando o arquivo for visualizado. O problema decorre do componente frontend/src/views/files/Preview.vue que passa allowScriptedContent: true para o componente vue-reader, que, combinado com allow-scripts e allow-same-origin na sandbox do iframe, torna a sandbox ineficaz, permitindo que o script acesse o DOM e o armazenamento do frame pai. Os desenvolvedores do epub.js alertam explicitamente contra a habilitação de conteúdo de script. Uma prova de conceito (PoC) demonstra a capacidade de roubar tokens JWT e exfiltrar o endereço IP público da vítima. A vulnerabilidade pode levar ao sequestro de sessão e escalada de privilégios para usuários com permissão de upload.

Recomendações Atualize o File Browser para a versão 2.62.2 ou posterior.