CVE-2026-35585

Nome do Software Vulnerável e Versões Afetadas File Browser versões 2.0.0 a 2.33.8

Description O sistema de hooks do File Browser, que executa comandos de shell definidos pelo administrador durante eventos de arquivo como upload, renomeação e exclusão, está suscetível a injeção de comandos de SO. O problema ocorre na função Runner.exec() dentro do arquivo runner/runner.go, onde a substituição de variáveis para valores como $FILE e $USERNAME é realizada via os.Expand sem a devida sanitização. Um invasor autenticado com permissões de escrita de arquivos pode criar um nome de arquivo malicioso contendo metacaracteres de shell. Quando o hook é acionado, o servidor executa esses caracteres como comandos de SO arbitrários, resultando em Execução Remota de Código (RCE). Este padrão é explorável em vários eventos de hook, incluindo before upload, after upload, before rename, after rename, before delete e after delete.

Recommendations Atualize para a versão 2.33.8 ou posterior, pois o recurso de hook é desativado por padrão a partir desta versão. Como medida paliativa temporária, desative o sistema de hooks ou restrinja o uso da função Runner.exec() até que o software seja atualizado.