Kritisk sårbarhed i File Browser

Eskil Sørensen

03.18.2026 11:46

Fejl i registreringslogik giver uautoriseret administratoradgang

Sikkerhedsresearchere har identificeret en kritisk sårbarhed i File Browser, som er et udbredt open source‑værktøj til selvhostet filhåndtering. Sårbarheden har id’et CVE‑2026‑32760 og CVSS-score på 10,0. Årsagen til den høje score er, at den muliggør fuld kompromittering af systemet uden forudgående autentifikation.

Det skriver Security Online.

Sårbarheden gør det muligt for uautoriserede aktører at oprette en administratorprofil ved at tilgå endpointet POST /api/signup. Med administrative rettigheder kan en angriber:

tilgå, ændre eller slette alle filer på systemet.
oprette, modificere eller fjerne enhver bruger.
ændre globale indstillinger og autentifikationsmetoder.
eksekvere systemkommandoer, hvis funktionen Enable Exec er aktiveret.

Fejlen kræver ingen særlig teknisk kunnen at udnytte og giver fuld kontrol over systemet umiddelbart efter registrering, fremgår det.

Alle versioner af File Browser op til og med 2.61.2 er påvirket. Problemet er rettet i version 2.62.0, hvor der er indført server-side kontroller, som forhindrer selvregistrerede brugere i at modtage administratorrettigheder.

Det anbefales, at brugere af File Browser iværksætter følgende tiltag:

Opdater til File Browser version 2.62.0 eller nyere.
Gennemgå globale standardindstillinger og verificér, at perm.admin ikke er aktiveret.
Gennemgå brugerlisten for at identificere eventuelle uautoriserede administratorprofiler, hvis offentlig registrering har været mulig.
Deaktiver offentlig registrering, hvis funktionen ikke er nødvendig.

Læs mere

https://securityonline.info/instant-hijack-critical-10-cvss-file-browser-flaw-cve-2026-32760/

Sårbarhed