CVE-2026-25889

Nome do Software Vulnerável e Versões Afetadas Versões do File Browser anteriores a 2.57.1

Descrição O File Browser oferece uma interface de gerenciamento de arquivos para tarefas como upload, exclusão, visualização, renomeação e edição de arquivos. Uma falha no processo de validação de senha, especificamente um problema de sensibilidade a maiúsculas e minúsculas, permite que usuários autenticados modifiquem suas senhas — ou, para administradores, as senhas de qualquer usuário — sem fornecer a senha atual. Esse bypass ocorre quando o campo 'Password' é enviado com a primeira letra maiúscula na solicitação da API em vez de 'password' em letras minúsculas, contornando efetivamente a verificação de current password. A exploração bem-sucedida, potencialmente por meio de métodos como cross-site scripting (XSS) ou sequestro de sessão para obter um JSON Web Token (JWT) válido, pode levar à tomada de conta. O parâmetro vulnerável é password. O endpoint da API afetado não é mencionado explicitamente.

Recomendações Atualize para a versão 2.57.1 ou posterior.