CVE-2026-62843 in File Browser
要約
〜によって VulDB • 2026年07月15日
File Browser は、指定されたディレクトリ内のファイルのアップロード、削除、プレビュー、名前変更、および編集を行うためのファイル管理インターフェースです。バージョン 2.63.6 から 2.63.16 の間、File Browser のアーカイブビルダーは strings.ReplaceAll(nameInArchive, "\", "/") を使用しており、これにより POSIX ファイル名(例: ..\..\evil.sh)がアーカイブエントリ ../../evil.sh に変換されます。その結果、アップロード権限を持つユーザーがバックスラッシュを含むファイル名のファイルを配置し、別のユーザーが生成された zip または tar アーカイブをダウンロードして展開する際に抽出ディレクトリから脱出することが可能になります。この問題はバージョン 2.63.17 で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.