CRITICAL🇬🇧 English

CVE-2026-32760

File Browser: niezabezpieczona rejestracja konta administratora bez uwierzytelnienia

CVSS 10.0v4.0pub. 2026-03-20upd. 2026-03-23

W aplikacji File Browser w wersjach 2.61.2 i wcześniejszych każdy nieuwierzytelniony użytkownik może samodzielnie zarejestrować konto z pełnymi uprawnieniami administratora, jeśli włączona jest opcja samorejestracji (signup = true) oraz domyślne uprawnienia zawierają perm.admin = true. Podatność umożliwia przejęcie pełnej kontroli nad serwerem przez dowolną osobę z dostępem do publicznego endpointu rejestracji.

Pokaż oryginał (EN)

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. In versions 2.61.2 and below, any unauthenticated visitor can register a full administrator account when self-registration (signup = true) is enabled and the default user permissions have perm.admin = true. The signup handler blindly applies all default settings (including Perm.Admin) to the new user without any server-side guard that strips admin from self-registered accounts. The signupHandler is supposed to create unprivileged accounts for new visitors. It contains no explicit user.Perm.Admin = false reset after applying defaults. If an administrator (intentionally or accidentally) configures defaults.perm.admin = true and also enables signup, every account created via the public registration endpoint is an administrator with full control over all files, users, and server settings. This issue has been resolved in version 2.62.0.

🤖 Analiza AI
Jak działa

Procedura obsługi rejestracji (signupHandler) kopiuje do nowo tworzonego konta wszystkie domyślne ustawienia systemowe bez żadnej weryfikacji po stronie serwera, która usuwałaby flagę administratora z kont zakładanych przez publiczny endpoint. Brakuje jawnego resetu pola user.Perm.Admin = false po zastosowaniu domyślnej konfiguracji. Jeśli administrator — celowo lub przez pomyłkę — ustawi defaults.perm.admin = true i jednocześnie włączy funkcję signup, każde konto założone przez publiczny formularz rejestracji automatycznie otrzymuje uprawnienia administratora. Atakujący nie musi posiadać żadnych istniejących poświadczeń ani przeprowadzać żadnych dodatkowych kroków.

Skutki

Atakujący uzyskuje pełną kontrolę nad aplikacją File Browser, w tym dostęp do wszystkich plików, możliwość zarządzania kontami innych użytkowników oraz modyfikację ustawień serwera. W efekcie możliwe jest odczytanie, usunięcie lub nadpisanie dowolnych plików przechowywanych w zarządzanym katalogu.

Mitygacja

Należy zaktualizować File Browser do wersji 2.62.0, w której problem został rozwiązany. Do czasu aktualizacji należy natychmiast wyłączyć opcję samorejestracji (signup = false) lub upewnić się, że domyślne uprawnienia użytkownika nie zawierają flagi perm.admin = true.

Kogo dotyczy

File Browser w wersjach 2.61.2 i wcześniejszych, przy konfiguracji z włączoną samorejestrację (signup = true) oraz domyślnym ustawieniem perm.admin = true

Uwagi

Podatność dotyczy wyłącznie instalacji z jednoczesnym włączeniem samorejestracji (signup = true) i ustawieniem defaults.perm.admin = true — taka konfiguracja może wystąpić w wyniku błędu konfiguracyjnego administratora. Poprawka dostępna w commicie a63573b67eb302167b4c4f218361a2d0c138deab.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Filebrowser

    APP
    Filebrowser
    < 2.62.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-29188CRITICAL9.1PL ✓ten sam produkt

Broken Access Control w File Browser — usuwanie plików bez uprawnień

CVE-2023-39612CRITICAL9.0ten sam produkt

A cross-site scripting (XSS) vulnerability in FileBrowser before v2.23.0 allows an authenticated attacker to e...

CVE-2026-35604HIGH8.2ten sam produkt

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...

CVE-2026-35585HIGH7.5ten sam produkt

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...

CVE-2026-35607HIGH8.1ten sam produkt

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files wit...

CVE-2026-32760 — File Browser: niezabezpieczona rejestracja konta administratora bez uwierzytelnienia — CRITICAL 10.0 | CVEbaza.pl