Impatto Sistemico

Critico (77.17)

Sintesi

Disponibili Proof of Concept (PoC) per le vulnerabilità CVE‑2026‑35604 e CVE‑2026‑35607, entrambe di gravita “alta” – già sanate dal vendor, presenti in File Browser, applicazione open‑source e self‑hosted che fornisce un’interfaccia web per la gestione di file e cartelle su un server o su vari tipi di storage. Tali vulnerabilità, qualora sfruttate, potrebbero permettere di ottenere privilegi elevati sull’applicativo e/o accesso libero a file condivisi per utenti non autenticati.

Tipologia

• Elevation of Privilege
• Authentication Bypass

Descrizione e potenziali impatti

Disponibili Proof of Concept (PoC) per le vulnerabilità CVE‑2026‑35604 e CVE‑2026‑35607, entrambe di gravita “alta” – già sanate dal vendor, presenti in File Browser, applicazione open‑source e self‑hosted che fornisce un’interfaccia web per la gestione di file e cartelle su un server o su vari tipi di storage. Tali vulnerabilità, qualora sfruttate, potrebbero permettere di ottenere privilegi elevati sull’applicativo e/o accesso libero a file condivisi per utenti non autenticati.

Nel dettaglio, la vulnerabilità – di tipo “ Authentication Bypass ” (CVE-2026-35604) con score CVSS v3.x pari a a 8.1, e “ Elevation of Privilege ” (CVE-2026-35607) con score CVSS v4.0 pari a 8.2 – potrebbero permettere, ove presenti delle errate configurazioni, rispettivamente, l’accesso ad aree condivise da parte di un utente remoto non autenticato e l’esecuzione di script remoti da parte di utenti privi di tali diritti.

Prodotti e/o versioni affette

File Server versioni precedenti alla 2.63.1

Azioni di mitigazione

Si raccomanda di aggiornare tempestivamente il prodotto vulnerabile all’ultima versione disponibile.

Infine, per verificare l’eventuale avvenuta compromissione dei propri sistemi, si consiglia di valutare la verifica delle azioni di mitigazione riportate nell’articolo disponibile nella sezione Riferimenti.