Podatność w aplikacji File Browser umożliwia uwierzytelnionym użytkownikom posiadającym wyłącznie uprawnienie Create usuwanie dowolnych plików i katalogów w swoim zakresie, omijając ograniczenia uprawnień Delete. Stanowi to poważne zagrożenie dla środowisk wieloużytkownikowych, w których administratorzy celowo ograniczają możliwość usuwania plików.
▸ Pokaż oryginał (EN)
File Browser provides a file managing interface within a specified directory and it can be used to upload, delete, preview, rename and edit files. Prior to version 2.61.1, a broken access control vulnerability in the TUS protocol DELETE endpoint allows authenticated users with only Create permission to delete arbitrary files and directories within their scope, bypassing the intended Delete permission restriction. Any multi-user deployment where administrators explicitly restrict file deletion for certain users is affected. This issue has been patched in version 2.61.1.
Podatność wynika z nieprawidłowej kontroli dostępu (broken access control) w endpoincie DELETE protokołu TUS, wykorzystywanego do przesyłania plików. Protokół TUS obsługuje wznawialne przesyłanie plików, a jego endpoint DELETE nie weryfikuje poprawnie, czy wywołujący użytkownik posiada uprawnienie Delete — sprawdzane jest jedynie uprawnienie Create. W efekcie uwierzytelniony użytkownik z uprawnieniem Create może wysyłać żądania DELETE do endpointu TUS i usuwać pliki oraz katalogi, do których normalnie nie miałby prawa usunięcia.
Atakujący z uprawnieniem Create może trwale usunąć dowolne pliki i katalogi w swoim zakresie, omijając politykę kontroli dostępu ustanowioną przez administratora. Może to prowadzić do utraty danych oraz naruszenia integralności i dostępności przechowywanych zasobów.
Należy zaktualizować File Browser do wersji 2.61.1 lub nowszej, w której podatność została załatana. Szczegóły dostępne w oficjalnym wydaniu: https://github.com/filebrowser/filebrowser/releases/tag/v2.61.1
File Browser (filebrowser/filebrowser) w wersjach wcześniejszych niż 2.61.1. Dotyczy wyłącznie wdrożeń wieloużytkownikowych, w których administratorzy jawnie ograniczają uprawnienia do usuwania plików dla określonych użytkowników.
Podatność zgłoszona i naprawiona w ramach procesu security advisory GitHub (GHSA-79pf-vx4x-7jmm). Poprawka dostępna w commicie 7ed1425115be602c2b23236c410098ea2d74b42f.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:HFilebrowser
APPFilebrowser< 2.61.1
Powiązane podatności
File Browser: niezabezpieczona rejestracja konta administratora bez uwierzytelnienia
A cross-site scripting (XSS) vulnerability in FileBrowser before v2.23.0 allows an authenticated attacker to e...
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...