Retour à la veille

CVE-2026-61874

Publié : 12 juillet 2026
Modifié : 12 juillet 2026
Lien officiel NVD
Score CVSS
3.1
LOW

Description détaillée

filebrowser versions before 2.63.17 fail to normalize paths before querying the share index in DeleteWithPathPrefix, allowing authenticated users to leave stale public shares behind. Attackers can delete a shared directory using a trailing-slash path, then recreate the same directory to expose new contents through the dormant public share URL.

Vecteur d'attaque (CVSS)

Vecteur brut :CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

Références et Patchs