CVE-2026-34530

Nome do Software Vulnerável e Versões Afetadas: File Browser versões anteriores a 2.62.2

Descrição: Versões do File Browser anteriores a 2.62.2 são suscetíveis a Cross-Site Scripting (XSS) Persistente através de campos de branding controlados pelo administrador. Um administrador definindo o campo branding.name para um payload malicioso injeta JavaScript persistente que é executado para todos os visitantes, incluindo usuários não autenticados. O problema decorre do uso de text/template em vez de html/template em http/static.go, que não possui escaping HTML. O template frontend incorpora diretamente esses campos, permitindo a injeção de script arbitrário em cada carregamento de página. O campo ReCaptchaHost também pode ser explorado para carregar JavaScript arbitrário de uma origem escolhida pelo administrador. A ausência de um cabeçalho Content-Security-Policy agrava o risco.

Recomendações: Atualize para a versão 2.62.2 ou posterior.