CVE-2026-30934
🟠 Łataj w tym tygodniu
W FileBrowser Quantum występuje podatność na XSS, umożliwiająca wykonanie złośliwego skryptu poprzez metadane udostępnionych plików.
CVSS
8.9
EPSS
0.0%
Exploit
poc
Vendor
filebrowser
Opis źródłowy (NVD)
FileBrowser Quantum is a free, self-hosted, web-based file manager. Prior to 1.3.1-beta and 1.2.2-stable, Stored XSS is possible via share metadata fields (e.g., title, description) that are rendered into HTML for /public/share/<hash> without context-aware escaping. The server uses text/template instead of html/template, allowing injected scripts to execute when victims visit the share URL. This vulnerability is fixed in 1.3.1-beta and 1.2.2-stable.
exploit xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.9 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-03-10 18:18:53 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-18 16:52:51 UTC |
Referencje
- https://github.com/gtsteffaniak/filebrowser/releases/tag/v1.2.2-stable (security-advisories@github.com) [Release Notes]
- https://github.com/gtsteffaniak/filebrowser/releases/tag/v1.3.1-beta (security-advisories@github.com) [Release Notes]
- https://github.com/gtsteffaniak/filebrowser/security/advisories/GHSA-r633-fcgp-m532 (security-advisories@github.com) [Exploit, Vendor Advisory]