CVE-2026-32760

概要

File Browser は Web ベース の ファイル 管理 インターフェース を 提供 する オープンソース ソフトウェア です。Go 言語 で 開発 されて おり、セルフ ホスティング 型 の ファイル マネージャー として 個人 や 組織 で 広く 利用 されて います。Docker コンテナ として の デプロイ も 容易 で、NAS や ホームサーバー での 利用 が 多い ソフトウェア です。

この 脆弱性 は セルフ 登録（signup = true）が 有効 で、かつ デフォルト ユーザー 権限 に perm.admin = true が 設定 されて いる 場合 に 発生 します。この 条件 下 で は 未認証 の 訪問者 が ユーザー 登録 を 行う だけ で、フル 権限 の 管理者 アカウント を 取得 する こと が できて しまいます。

問題 の 根本 原因 は signupHandler の 実装 に あります。新規 ユーザー 登録 時 に デフォルト 設定 を 適用 する 処理 で、Perm.Admin フラグ を 含む 全て の デフォルト 設定 が ガード なし で そのまま 適用 されて いました。つまり、管理者 が デフォルト 権限 に 管理者 フラグ を 含めて しまった 場合、全て の 新規 登録 ユーザー が 自動的 に 管理者 と なって しまう 設計上 の 欠陥 です。CWE-269（不適切 な 権限 管理）および CWE-284（不適切 な アクセス制御）に 分類 されます。

技術的 背景

権限 昇格（Privilege Escalation）は アクセス制御 の 設計 や 実装 の 不備 に より、本来 与えられる べき で ない 高い 権限 を 取得 される 脆弱性 の 総称 です。本件 は 特に 垂直 権限 昇格（Vertical Privilege Escalation）に 該当 し、一般 ユーザー が 管理者 権限 を 取得 できて しまう 深刻 な 問題 です。

File Browser の 設計 で は、管理者 が システム 設定 から デフォルト ユーザー の 権限 セット を カスタマイズ できます。この 機能 自体 は 利便性 の ため に 提供 されて いる もの ですが、セルフ 登録 機能 と 組み合わせた 場合 の セキュリティ 影響 が 十分 に 考慮 されて いません でした。

攻撃者 が 管理者 アカウント を 取得 した 場合、サーバー 上 の 全て の ファイル に 対する 読み取り、書き込み、削除 の 操作 が 可能 に なり ます。さらに 設定 変更 や 他 の ユーザー アカウント の 管理 も 行える ため、システム 全体 の 完全性 が 損なわれます。NAS や ファイル サーバー と して 運用 されて いる 環境 では、機密 文書 や 個人 情報 の 漏洩 に 直結 する 重大 な リスク です。

セルフ 登録 機能 を 提供 する Web アプリケーション に おいて は、登録 ハンドラー で 付与 される 権限 の 上限 を ハードコード する か、管理者 権限 の 付与 を 明示的 に 禁止 する ロジック を 実装 する こと が ベスト プラクティス です。

CVSS ベクトル

影響 を 受ける ソフトウェア

修正 バージョン と 回避策

File Browser 2.62.0 で この 脆弱性 は 修正 されて います。2.61.2 以下 の バージョン を 使用 して いる 場合 は 速やか に アップデート して ください。Docker で 運用 して いる 場合 は イメージ の タグ を 最新版 に 更新 して コンテナ を 再作成 して ください。暫定 的 な 回避策 として は、セルフ 登録 機能 を 無効 に する（signup = false に 設定 する）か、デフォルト ユーザー 権限 から perm.admin = true を 除外 する こと が 有効 です。また、既存 の ユーザー アカウント を 確認 し、不正 に 作成 された 管理者 アカウント が ない か 監査 する こと を 強く 推奨 します。

関連 リンク

• NVD
• GitHub Security Advisory (GHSA-5gg9-5g7w-hm73)

データソース: NVD (NIST), GitHub Advisory Database AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。