Vulnerabilidad en File Browser (CVE-2025-52904)

File Browser proporciona una interfaz de gestión de archivos dentro de un directorio específico y permite cargar, eliminar, previsualizar, renombrar y editar archivos. En la versión 2.32.0 de la aplicación web, todos los usuarios tienen un ámbito asignado y solo tienen acceso a los archivos dentro de él. La función de Ejecución de Comandos del Explorador de Archivos permite la ejecución de comandos de shell sin restricciones de ámbito, lo que podría otorgar a un atacante acceso de lectura y escritura a todos los archivos administrados por el servidor. Hasta que se solucione este problema, los responsables recomiendan deshabilitar completamente la función "Ejecutar comandos" en todas las cuentas. Dado que la ejecución de comandos es una función inherentemente peligrosa que no se utiliza en todas las implementaciones, debería ser posible deshabilitarla por completo en la configuración de la aplicación. Como medida de defensa, las organizaciones que no requieran la ejecución de comandos deberían operar el Explorador de Archivos desde una imagen de contenedor sin distribución. Se ha publicado una versión de parche para deshabilitar la función en todas las instalaciones existentes y habilitarla. Se ha añadido una advertencia a la documentación que se muestra en la consola si la función está habilitada. Debido a que el proyecto se encuentra en modo de mantenimiento, el error no se ha corregido. La corrección se encuentra en la solicitud de incorporación de cambios 5199.