FileBrowser 跨站请求伪造漏洞（CVE-2021-46398）

CVE: CVE-2021-46398

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 服务端请求伪造(SSRF)

漏洞等级: 中危

年份: 暂无

POC_ID: 暂无

漏洞描述

FileBrowser 是用 Go 语言开发的文件管理器。

FOFA 语句

系统自动生成（不一定准确）：title="FileBrowser 跨站请求伪造"

影响范围

FileBrowser <= 2.17.2

漏洞详情

FileBrowser 是用 Go 语言开发的文件管理器。攻击者可利用该漏洞创建一个拥有管理员权限的后门用户,从而访问任意目录。利用该漏洞需向合法的管理员发送一个恶意网页URL。

漏洞 POC

暂无

修复建议

升级至 FileBrowser v2.18.0

参考来源

https://systemweakness.com/critical-csrf-to-rce-in-filebrowser-865a3c34b8e7