CVE-2026-29188 — 神龙十问 AI 深度分析摘要

🚨 **本质**：File Browser 的 TUS 协议 DELETE 端点**访问控制失效**。 💥 **后果**：拥有**创建权限**的用户，竟能**删除任意**文件和目录！数据完整性与可用性直接崩盘。

🔍 **CWE**：CWE-732（权限/授权分配不当）。 📍 **缺陷点**：TUS 协议 DELETE 接口**未严格校验**删除目标的路径权限，导致越权操作。

📦 **组件**：File Browser（开源文件管理界面）。 📉 **版本**：**2.61.1 之前**的所有版本均受影响。

🕵️ **黑客能力**： 1️⃣ **删除任意文件**：无视目录隔离，直接删库。 2️⃣ **删除任意目录**：破坏文件系统结构。 3️⃣ **权限要求低**：只需具备**创建文件**的权限即可触发。

🚪 **利用门槛**：**极低**。 ✅ **无需认证绕过**：只要你有“创建”权限（通常默认或易获取）。 ✅ **无需用户交互**：直接发送 DELETE 请求。 ✅ **网络可达**：CVSS 向量显示攻击向量为网络 (AV:N)。

🧪 **Exp/PoC**：当前数据中 **PoCs 为空**。 🌍 **在野利用**：暂无公开在野利用报告，但漏洞原理简单，**随时可能被编写**。

🔎 **自查方法**： 1️⃣ 检查 File Browser 版本是否 **< 2.61.1**。 2️⃣ 审计 TUS 协议 DELETE 接口的**权限校验逻辑**。 3️⃣ 尝试使用低权限账号（仅含创建权限）对非所属目录发起 DELETE 请求。

🛡️ **官方修复**：**已修复**。 📅 **发布时间**：2026-03-05。 🔗 **补丁版本**：**v2.61.1** 及以后版本。 📝 **参考**：GitHub Security Advisory (GHSA-79pf-vx4x-7jmm)。

🚧 **临时规避**： 1️⃣ **升级**：立即升级至 **v2.61.1+**（最推荐）。 2️⃣ **权限收紧**：若无法升级，确保用户**仅拥有创建权限**，且**严格隔离**不同用户的目录，避免跨目录访问。 3️⃣ **WAF/网关**：在网关层限制对 TUS DELETE 端点的直接访问或加强鉴权。

⚡ **优先级**：**高 (Critical)**。 📊 **CVSS**：H (High)。 💡 **建议**：由于影响**数据完整性 (I:H)** 和 **可用性 (A:H)**，且利用简单，建议**立即升级**或实施严格权限隔离，防止数据被恶意清空。