CVE-2026-44460 in FileRiseinfo

Zusammenfassung

von VulDB • 27.05.2026

FileRise ist ein selbst gehosteter, webbasierter Dateimanager mit Funktionen für den Upload mehrerer Dateien, die Bearbeitung und Stapelverarbeitung. Vor Version 3.12.0 ist /api/totp_setup.php aus einer Sitzung aufrufbar, die lediglich die Passwortprüfung bestanden hat (Status pending_login_user). Wenn das Zielkonto bereits TOTP konfiguriert hat, entschlüsselt der Endpunkt und gibt das bestehende TOTP-Geheimnis des Benutzers innerhalb des QR-PNGs zurück, anstatt die Anfrage abzulehnen oder ein neues Geheimnis zu generieren. Ein Angreifer, der bereits über das Passwort des Opfers verfügt, kann daher das aktive TOTP-Geheimnis abrufen, einen gültigen Einmalcode ableiten, diesen an /api/totp_verify.php senden und eine vollständig authentifizierte Sitzung erhalten, ohne jemals über das Authentifizierungsgerät des Opfers zu verfügen. Diese Schwachstelle wurde in Version 3.12.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

06.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366461

CPE

bereit

EPSS

0.00039

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44460
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44460
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44460/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!