Asayomu Tech
注目★★★★GitHub Advisory

File Browser、認証前に任意コマンド実行可能な脆弱性(CVSS 9.0)

30秒で把握

  • 1File Browser の Hook Authentication で shell メタ文字注入により認証前 RCE、CVSS 9.0
  • 2ログイン画面のユーザー名・パスワード欄からサーバー上の任意コマンド実行が可能
  • 3本番環境運用チームは直ちに更新版確認と隔離判断、ファイアウォール制限の即時実施

要約

File Browser の Hook Authentication 機能に認証前リモートコマンド実行(RCE)脆弱性が存在する。ユーザー名またはパスワード入力欄に shell メタ文字を注入することで、認証を経由せずにサーバーは任意の OS コマンドを実行させられる。ファイル参照・修正・削除の完全な権限を奪取され、本番サーバーが直接危機にさらされる。CVSS v4.0 で 9.0 の重大度と評価されている。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。