漏洞概述 标题: Improper Access Control Occurs via Pre-Created Public Share for a Non-existent Path 描述: 该漏洞类似于CVE-2026-0035,在Android MediaProvider中已修复。在原始的Java问题中,MediaStore.createFileIntent()接受了攻击者控制的URI,并在引用的媒体项不存在时创建了未来的意图。Android在创建请求之前添加了存在性检查。 在filebrowser/filebrowser中,POST /api/share/接受一个经过身份验证的请求,用于任意路径并存储一个公共共享,而不检查目标文件当前是否存在。稍后,当在该路径创建文件时,先前创建的公共共享立即变为有效,并通过GET /api/public/dl/暴露新文件。 影响范围 包: github.com/filebrowser/filebrowser/v2 (Go) 受影响版本: <= 2.63.6 修复版本: 2.63.7 修复方案 修复版本: 2.63.7 POC代码 影响 经过身份验证的用户可以在文件存在之前创建公共共享,并且该共享稍后会暴露在该路径创建的任何文件。这可能会无意中发布未来敏感文件,并绕过预期不变量,即共享仅在创建时授予对现有对象的访问权限。 参考 原始CVE: https://nvd.nist.gov/vuln/detail/CVE-2026-0035