概述
FileBrowser是一个在指定目录内提供文件管理界面的应用程序,支持文件上传、删除、预览、重命名和编辑操作。2.45.1之前版本在共享删除功能中存在不安全的直接对象引用(IDOR)漏洞。
漏洞详情
该漏洞允许任何具有共享权限的认证用户绕过授权检查,删除其他用户的共享链接。攻击者可系统性地移除共享文件和链接,从而:
- 破坏正常业务运营
- 导致合法用户遭受拒绝服务
- 在协作环境中造成潜在数据丢失
- 违反数据保密协议
在组织环境中,此漏洞可能影响项目文件共享、演示文稿和文档协作等关键功能。
解决方案
- 将FileBrowser升级至2.45.1或更高版本
- 应用供应商补丁或安全更新
- 审查并强制执行共享权限控制
技术细节
CVSS 4.0评分: 7.2(高危)
关联CWE:
- CWE-285:不恰当的授权
- CWE-639:通过用户控制密钥绕过授权
受影响产品:
- Filebrowser/filebrowser
参考链接:
- https://github.com/filebrowser/filebrowser/commit/291223b3cefe1e50fae8f73d70464b1dc25351a4
- https://github.com/filebrowser/filebrowser/security/advisories/GHSA-6cqf-cfhv-659g
时间线
- 发布日期: 2025年11月12日
- 最后修改: 2025年11月12日
- 远程利用: 是
- 漏洞来源: security-advisories@github.com