关键信息 漏洞概述 类型: Insecure Direct Object Reference (IDOR) in Share Deletion Function 标识: GHSA-6cqf-cfhv-659g 发布日期: 3 days ago 严重性: High (7.2/10) 受影响的版本和修复版本 受影响版本: <= 2.45.0 修复版本: 2.45.1 描述 总结: 在FileBrowser应用程序的共享删除功能中发现了一种IDOR漏洞。此漏洞允许任何具有共享权限的已验证用户在没有授权检查的情况下删除其他用户的共享链接。 技术分析: 漏洞存在于 的72-82行。 函数在处理删除请求时仅使用共享哈希,而没有比较链接的 与当前已验证用户的ID。这种缺失的授权检查导致了漏洞。 PoC: 提供了详细步骤来重现漏洞。 影响 业务影响: 恶意行为者可以通过系统性地移除共享文件和链接,中断业务操作。这可能导致对合法用户的拒绝服务、协作环境中的潜在数据丢失和数据保密协议的违反。在组织环境中,这可能会影响项目、演示文稿或文档协作中的关键文件共享。 CVSSv4 基础指标 利用指标 - 攻击向量: 网络 - 攻击复杂性: 低 - 攻击需求: 无 - 权限要求: 低 - 用户交互: 无 脆弱系统影响指标 - 机密性: 低 - 完整性: 高 - 可用性: 高 CVSS 标识符 CVE ID: CVE-2025-64523 弱点 CWE: CWE-285, CWE-639 致谢 报告者: bbodisteanu-hacken 修复开发者: hacdias