文章总结： 热门开源自托管云存储解决方案FileBrowser存在一个严重的逻辑漏洞CVE-2026-32760，CVSS评分高达10分。该漏洞源于注册系统盲目应用默认设置，包括管理权限，导致任何新注册用户都可能被自动授予完全的管理员权限。这可能使攻击者获得文件完全控制、用户操纵、系统劫持甚至远程代码执行的能力。漏洞影响FileBrowser2.61.2及之前版本，官方已在2.62.0版本中发布补丁。建议立即更新，并检查和修改默认用户权限，必要时禁用公开注册功能。 综合评分： 95 文章分类： 漏洞分析,WEB安全,应用安全,安全建设,应急响应

File Browser 满分漏洞可用于完全控制管理员权限

Ddos Ddos

代码卫士

2026年3月18日 17:55 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究人员提醒用户称，热门开源自托管云存储解决方案 File Browser的注册系统中存在一个严重的逻辑漏洞CVE-2026-32760（CVSS评分10分），可自动将完全的管理权限授予任何注册的新用户。

File Browser 允许管理员设置“默认设置”，这些设置会自动应用于系统上创建的每个新帐户。该漏洞源于该平台的注册处理程序“盲目应用”了这些默认设置——包括管理权限——而没有任何服务器端检查来确保公开注册者不会被提升为管理员。

如果管理员有意或无意将默认用户权限配置为包含 perm.admin = true，那么“注册”按钮实际上就变成了“成为管理员”按钮。

关于该漏洞的安全公告提到，“注册处理程序盲目地将所有默认设置——包括 Perm.Admin——应用于新用户，没有任何服务器端防护措施来从自注册帐户中移除管理员权限。”

此漏洞可造成严重后果，任何能够访问公共注册端点（POST /api/signup）的未认证访客都可以立即获得一个完整的管理员帐户，从而实施如下操作：

• 文件完全控制：列出、读取、修改和删除服务器上托管的每一个文件。
• 用户操纵：创建、修改或删除所有其它现有用户帐户。
• 系统劫持：更改身份验证方法和全局服务器设置。
• 远程代码执行：如果启用了“Enable Exec”设置，攻击者可以直接在主机服务器上执行任意系统命令。

该漏洞影响 File Browser 2.61.2 及之前版本，补丁已发布在 2.62.0 版本。该版本引入了必要的防护措施，以防止自注册用户继承管理权限。

基本修复步骤：

• 立即更新：将File Browser 安装升级到 2.62.0 或更高版本。
• 审计默认权限：立即检查 “全局设置”，并确保默认用户配置文件中的 perm.admin 设置为 false。
• 审查用户列表：如果已启用公开注册，检查用户列表中是否存在任何具有管理员权限的未识别帐户。
• 禁用注册：如无特别需要公开注册，完全禁用注册功能以减少攻击面。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

思科提醒注意满分 Secure FMC 漏洞可用于获取 root 权限

n8n 满分漏洞 Ni8mare 可导致服务器遭劫持

慧与提醒注意 OneView 软件中的满分 RCE 漏洞

速修复！Apache Tika 中存在严重的满分XXE 漏洞

速修复！React满分漏洞同时影响 Next.js，可导致未认证RCE

原文链接

Instant Hijack: Critical 10.0 CVSS File Browser Flaw Grants Automatic Admin Rights

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos Ddos《File Browser 满分漏洞可用于完全控制管理员权限》