CVE-2026-23849

Nome do Software Vulnerável e Versões Afetadas File Browser versões anteriores à 2.55.0

Descrição O File Browser oferece uma interface de gerenciamento de arquivos para tarefas como upload, exclusão e edição de arquivos. Uma falha na função JSONAuth.Auth permite que atacantes não autenticados identifiquem nomes de usuário válidos ao observar o tempo de resposta do endpoint /api/login. Isso é possível porque a lógica de autenticação utiliza uma "avaliação de curto-circuito". Quando um nome de usuário não é encontrado, a função retorna rapidamente, mas quando o nome de usuário existe, um processo mais lento de verificação de senha usando users.CheckPwd é executado, criando uma diferença de tempo mensurável.

Recomendações Atualize para a versão 2.55.0 ou posterior.