Vulnerabilidad en File Browser (CVE-2025-52901)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/06/2025
Última modificación:
04/08/2025
Descripción
File Browser proporciona una interfaz de gestión de archivos dentro de un directorio específico y permite cargar, eliminar, previsualizar, renombrar y editar archivos. Antes de la versión 2.33.9, los tokens de acceso se utilizaban como parámetros GET. El token web JSON (JWT), utilizado como identificador de sesión, se filtraba a cualquiera que tuviera acceso a las URL a las que accedía el usuario. Esto otorgaba a un atacante acceso total a la cuenta del usuario y, en consecuencia, a todos los archivos confidenciales a los que tenía acceso. Este problema se ha corregido en la versión 2.33.9.
Impacto
Puntuación base 3.x
4.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:filebrowser:filebrowser:*:*:*:*:*:*:*:* | 2.33.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/filebrowser/filebrowser/commit/d5b39a14fd3fc0d1c364116b41289484df7c27b2
- https://github.com/filebrowser/filebrowser/releases/tag/v2.33.9
- https://github.com/filebrowser/filebrowser/security/advisories/GHSA-rmwh-g367-mj4x
- https://github.com/sbaresearch/advisories/tree/public/2025/SBA-ADV-20250327-03_Filebrowser_Sensitive_Data_Transferred_In_URL