【中危漏洞】CVE-2026-23849:File Browser 用户名枚举漏洞分析
漏洞概述
File Browser 是一个提供文件管理界面的开源工具,支持在指定目录中上传、删除、预览、重命名和编辑文件。CVE-2026-23849 指出,在版本 2.55.0 之前,其认证逻辑存在时序差异问题,导致未经身份验证的攻击者可通过测量 /api/login 接口的响应时间,远程枚举系统中存在的有效用户名。该漏洞源于认证函数中的“短路”逻辑判断,构成信息泄露风险。
漏洞详情
- CVE 编号:CVE-2026-23849
- 漏洞类型:时序侧信道漏洞(CWE-208:可观察到的响应差异)
- CVSS 评分:5.3(中危),向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
- 影响版本:File Browser 2.55.0 之前的所有版本
影响范围
所有使用 File Browser 且版本低于 2.55.0 的部署实例均受此漏洞影响,无论是否启用了 JSON 认证(JSONAuth)方式。攻击者无需任何身份凭证即可通过网络发起探测。
风险分析
该漏洞允许攻击者通过分析登录接口的响应时间差异,判断某个用户名是否存在于系统中。由于 bcrypt 密码校验过程耗时显著长于用户名不存在时的快速返回,攻击者可利用此时间差进行高效的用户名枚举。一旦获取有效用户名,攻击者可进一步尝试暴力破解或钓鱼攻击,提升后续攻击成功率,造成潜在的账户接管或数据泄露风险。
修复建议
- 立即升级 File Browser 至 2.55.0 或更高版本,该版本已修复认证逻辑中的时序差异问题。
- 若无法立即升级,建议在网络层限制对
/api/login接口的访问频率,或通过 WAF 规则检测异常的高频登录请求,以减缓用户名枚举攻击。
