CVE-2026-35607

File Browser versões anteriores a 2.63.1 Descrição: File Browser é uma interface de gerenciamento de arquivos. Antes da versão 2.63.1, uma correção destinada a restringir permissões de execução para usuários auto-registrados não foi aplicada ao manipulador de autenticação proxy. Isso permitiu que usuários criados automaticamente no primeiro login de autenticação proxy bem-sucedido herdassem capacidades de execução das configurações globais, violando uma invariante de segurança. Esta questão é uma correção incompleta para um problema anterior em que o registro concedia permissões de execução quando as permissões padrão incluíam execução. A vulnerabilidade está relacionada à aplicação de configurações padrão na função createUser() em auth/proxy.go, onde as restrições à permissão Execute e Commands estavam faltando em comparação com o manipulador de registro. Endpoint da API: /api/login. Parâmetros vulneráveis: username. Nome da função: createUser(). Recomendações: Atualize para a versão 2.63.1 ou posterior do File Browser.