CVE-2025-64523 - FileBrowser共享删除功能存在不安全的直接对象引用漏洞

概述

FileBrowser提供了一个在指定目录内管理文件的界面，可用于上传、删除、预览、重命名和编辑文件。2.45.1之前版本在FileBrowser应用程序的共享删除功能中存在不安全的直接对象引用漏洞。

漏洞描述

该漏洞允许任何具有共享权限的认证用户在没有授权检查的情况下删除其他用户的共享链接。影响十分严重，恶意行为者可以通过系统性地移除共享文件和链接来破坏业务运营。

这会导致：

• 合法用户的服务拒绝
• 协作环境中潜在的数据丢失
• 违反数据保密协议

在组织环境中，这可能影响项目、演示或文档协作的关键文件共享。版本2.45.1包含了此问题的修复。

技术详情

CVSS 4.0评分： 7.2（高危）

漏洞类型：

• CWE-285：不正确的授权
• CWE-639：通过用户控制密钥绕过授权

远程利用： 是

信息来源： security-advisories@github.com

解决方案

• 将FileBrowser更新到版本2.45.1或更高版本
• 应用供应商补丁或安全更新
• 审查并强制执行共享权限控制

参考链接

• https://github.com/filebrowser/filebrowser/commit/291223b3cefe1e50fae8f73d70464b1dc25351a4
• https://github.com/filebrowser/filebrowser/security/advisories/GHSA-6cqf-cfhv-659g

相关攻击模式

该漏洞与以下CAPEC攻击模式相关：

• CAPEC-1：访问ACL未正确约束的功能
• CAPEC-5：蓝盒子攻击
• CAPEC-77：操作用户控制的变量
• CAPEC-87：强制浏览
• 以及其他多个相关攻击模式

时间线

• 发布日期： 2025年11月12日
• 最后修改： 2025年11月12日
• 修复版本： FileBrowser 2.45.1