CVE-2026-35604

Name of the Vulnerable Software and Affected Versions: File Browser versões anteriores a 2.63.1

Description: File Browser é uma interface de gerenciamento de arquivos. Em versões anteriores a 2.63.1, quando um administrador revoga as permissões de Compartilhamento e Download de um usuário, os links de compartilhamento existentes criados por esse usuário permanecem acessíveis a usuários não autenticados. O manipulador de download de compartilhamento público não verifica novamente as permissões atuais do proprietário do compartilhamento. Isso permite que usuários não autenticados acessem arquivos por meio de links de compartilhamento existentes, mesmo depois que as permissões do proprietário foram revogadas. A vulnerabilidade existe porque a função de acesso ao compartilhamento não valida as permissões de Compartilhamento e Download do usuário, ao contrário da função de criação de compartilhamento. O endpoint da API ''/api/public/dl/{hash}'' é afetado, onde {hash} representa o hash do link de compartilhamento. O parâmetro vulnerável é o próprio hash do link de compartilhamento, pois permite o acesso sem as verificações de permissão adequadas. A função withHashFile é responsável por lidar com o acesso ao compartilhamento e não possui a validação de permissão necessária.

Recommendations: Atualize o File Browser para a versão 2.63.1 ou posterior.