PT-2026-38413 · Unknown · Filebrowser Quantum
Yesuhei
·
Publicado
2026-05-01
·
Atualizado
2026-06-17
·
CVE-2026-44542
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
FileBrowser Quantum versões anteriores a 1.3.1-stable
FileBrowser Quantum versões anteriores a 1.3.9-beta
Descrição
A entrada de caminho controlada por um invasor é juntada a um caminho base confiável antes da sanitização, permitindo o uso de sequências de travessia, como
../, para escapar do diretório compartilhado pretendido. Um invasor não autenticado com um hash de compartilhamento público válido e permissões de exclusão pode excluir arquivos arbitrários fora do diretório compartilhado dentro do escopo de armazenamento do proprietário do compartilhamento. Este problema afeta os endpoints 'public/api/resources' e 'public/api/resources/bulk', especificamente envolvendo o parâmetro path.Recomendações
Atualize para a versão 1.3.1-stable.
Atualize para a versão 1.3.9-beta.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Filebrowser Quantum