← 脆弱性報告
CVE-2026-35585
CVE HIGHFile Browser フックシステムの OS コマンドインジェクション
GHSA-jvpw-637p-h3pw
種別 CVE
影響を受けるパッケージ github.com/filebrowser/filebrowser/v2
影響を受けるバージョン
>= 2.0.0-rc.1, <= 2.63.1
CVSS
7.5 CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE
CWE-78CWE-88
公開日 2026-04-04
概要
File Browser のフックシステムにおける OS コマンドインジェクション脆弱性。管理者が設定したシェルコマンドは、ファイルイベント(アップロード・リネーム・削除)発生時に実行されるが、変数展開($FILE, $USERNAME)において入力値のサニタイズが不十分。ファイル操作権限を持つ認証済みユーザーがシェルメタキャラクタを含む悪意あるファイル名を作成することで、フック実行時に任意のリモートコード実行が可能になる。