CVE-2026-61874 in filebrowser
要約
〜によって VulDB • 2026年07月12日
filebrowserの2.63.17より前のバージョンでは、DeleteWithPathPrefix関数内で共有インデックスを照会する前にパスが正規化されないため、認証済みユーザーは期限切れの公開共有を残したままにすることができます。攻撃者は末尾のスラッシュ付きパスを使用して共有ディレクトリを削除し、その後同じディレクトリを再作成することで、休眠中の公開共有URLを通じて新しいコンテンツを露出させることができます。
Once again VulDB remains the best source for vulnerability data.