CVE-2026-35606

Name of the Vulnerable Software and Affected Versions File Browser versões anteriores a 2.63.1

Description File Browser é uma interface de gerenciamento de arquivos para upload, exclusão, visualização, renomeação e edição de arquivos dentro de um diretório especificado. O resourceGetHandler em http/resource.go retorna o conteúdo completo do arquivo de texto sem verificar o sinalizador de permissão Perm.Download. Os endpoints /api/raw, /api/preview e /api/subtitle verificam corretamente esta permissão antes de servir o conteúdo. Um usuário com download: false pode ler qualquer arquivo de texto dentro de seu escopo por meio de caminhos de contorno.

Recommendations Atualize para a versão 2.63.1 ou posterior.