CVE-2026-54088

CVE CRITICAL

File Browser Hook Authentication のプリ認証 OS コマンドインジェクション

GHSA-m93h-4hw7-5qcm

種別 CVE

影響を受けるパッケージ github.com/filebrowser/filebrowser/v2

影響を受けるバージョン

<= 2.63.5

修正済みバージョン

2.63.6

CVSS

9.3 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CWE

CWE-78CWE-88CWE-306

公開日 2026-06-03

概要

File Browser の Hook Authentication 機能におけるプリ認証 OS コマンドインジェクション脆弱性。管理者が外部コマンドによる認証を設定した場合、ログイン時に送信されたユーザー名とパスワードが os.Expand() によってフックコマンド文字列へエスケープなしで展開されていた。未認証のリモート攻撃者がログインリクエストの資格情報にシェル構文を注入することで、認証の成否に関係なく File Browser プロセス権限で任意コマンドを実行できる可能性がある。

Advisoryを見る ↗ PoC ↗ cve.orgで見る ↗