セルフホスト型File Browserの認証関連脆弱性2件を解説します。Hook認証の修正版、Proxy認証の影響条件、直接公開の確認、リバースプロキシ制限、ログ・アカウント点検、エスカレーション判断を実務向けに、確認手順と記録例まで整理します。
この記事の目次 11項目から選ぶ
冒頭要約
セルフホスト型ファイル管理ソフトウェアFile Browserについて、認証方式に関係するCVE-2026-54088とCVE-2026-54089がGitHub Advisory Databaseで2026年7月10日にレビューされました。両方ともネットワーク経由で大きな影響を受け得ますが、対象となる設定と対応方法は異なります。
CVE-2026-54088はHook Authenticationを有効にしている2.63.5以前が対象で、2.63.6が修正版です。CVE-2026-54089はProxy Authenticationを使い、信頼済みリバースプロキシを迂回してFile Browser本体へ直接到達できる構成が主な影響条件です。GitHub Advisoryの2026年7月10日更新時点では、後者の修正版は示されていません。
まず、全インスタンスのバージョン、認証方式、待ち受け先、ファイアウォール、ロードバランサー、トンネル、リバースプロキシ経路を確認してください。攻撃を再現するのではなく、直接到達できない構成へ制限し、ログとアカウント・権限・ファイル操作の変化を確認することが初動です。
2.63.6への更新はCVE-2026-54088への修正です。CVE-2026-54089はProxy認証の信頼境界に関する問題で、アドバイザリ更新時点では修正版なしとされています。認証方式とネットワーク経路を確認しないまま、更新だけで完了にしないでください。
何が起きたか
File Browserは、指定したディレクトリをWebブラウザーから管理するためのセルフホスト型ソフトウェアです。ファイルの閲覧、アップロード、編集、共有などを提供するため、認証が破られた場合は、保存ファイルとサーバー設定の両方が影響を受ける可能性があります。
今回の2件は、File Browserが選べる認証方式のうち、Hook認証とProxy認証に関するものです。
| CVE | 対象となる主な条件 | 影響バージョン | 公開情報上の対応 |
|---|---|---|---|
| CVE-2026-54088 | Hook Authenticationを有効化 | 2.63.5以前 | 2.63.6以降へ更新 |
| CVE-2026-54089 | Proxy Authenticationを有効化し、File Browserへ直接到達可能 | 2.0.0-rc.1から2.63.18まで | 2026-07-10更新時点で修正版なし。公開境界を制限 |
CVE-2026-54088は、認証フックへ渡される値の扱いに問題があり、認証前にFile Browserプロセスの権限でコマンド実行につながる可能性があります。GitHub AdvisoryではCVSS v4.0 9.3 Criticalと評価されています。
CVE-2026-54089は、Proxy認証が信頼する本人情報ヘッダーを、File Browserがリクエスト元の信頼性を確認せず受け入れる問題です。既定のJSON認証はこの影響条件ではありません。Proxy認証を使っていても、File Browser本体が信頼済みリバースプロキシ以外から到達できない構成であることが重要です。
GitHub Advisory Databaseの2026年7月10日更新時点では、CVE-2026-54089に修正版は示されていません。特定組織での侵害や国内被害、CISA KEV掲載を根拠にした既知悪用については、今回確認した一次情報から断定しません。
影響を受ける可能性がある組織・担当者
情シス・サーバー運用者
社内ファイル共有、顧客との受け渡し、制作物管理、バックアップ参照などにFile Browserを使っている場合は、インストール台帳と実際の稼働プロセスを照合します。Docker、systemd、NAS、VM、クラウド、開発環境を含め、管理外のインスタンスがないか確認します。
開発者・SRE
リバースプロキシ、SSO、LDAP、OAuth連携を前段に置く構成では、Proxy認証が使われている可能性があります。アプリ設定だけでなく、コンテナのポート公開、Security Group、Kubernetes Service、Ingress、VPN、トンネルまで確認します。
SaaS・ID管理者
IdP側で認証できていても、File Browser本体へ別経路で到達できれば信頼境界が崩れます。IdP設定だけでなく、プロキシが認証済み本人情報をどのヘッダーへ設定し、クライアント由来の同名ヘッダーを削除・上書きしているかをインフラ担当と確認します。
セキュリティ・CSIRT
公開範囲、保存データの分類、ユーザー権限、ログ保持を基に優先度を決めます。不審なアカウント、権限、設定、ファイル操作がある場合は、単なる脆弱性更新からインシデント対応へ切り替えます。
なぜ重要か
File Browserのようなファイル管理サービスは、認証を通過した利用者がファイルを閲覧・変更することを前提にしています。そのため認証境界の不備は、単一画面の問題ではなく、次の資産へ波及する可能性があります。
- 顧客、従業員、案件、制作物、バックアップなどの保存ファイル。
- File Browserがアクセスできるホスト上のディレクトリ。
- 管理者権限、ユーザー権限、共有設定、実行許可。
- リバースプロキシ、IdP、ネットワーク制御の信頼関係。
- ホスト上の他サービスや認証情報。
特にCVE-2026-54089は、アプリのバージョンだけで対象判定できません。Proxy認証の有無と、リバースプロキシ以外からバックエンドへ到達できるかを組み合わせて判断する必要があります。
まず確認すべきこと
実際の点検には、セルフホスト型ファイル共有 認証・公開範囲点検チェックリストを利用できます。
1. インスタンスとバージョンを確定する
- 本番、検証、災害対策、開発、個人運用を含むFile Browserを一覧にする。
- インストール方式、実行ユーザー、バージョン、コンテナイメージ、更新経路を記録する。
- 公開URL、内部URL、待ち受けアドレス、ポート、DNS、ロードバランサー、トンネルを記録する。
- 保存対象ディレクトリと、扱うデータの分類・所有者を確認する。
- 対象外と判断したインスタンスにも、確認方法と日時を残す。
2. 認証方式を確認する
- File Browserの設定で、JSON、Proxy、Hookのどの認証方式を使っているか確認する。
- Hook認証の場合は、2.63.6以降へ更新済みか確認する。
- Proxy認証の場合は、前段のリバースプロキシ、IdP、認証連携の所有者を確認する。
- 設定ファイル、起動引数、環境変数、構成管理の値が一致しているか確認する。
- 「SSOを使っているはず」などの記憶ではなく、実設定と通信経路を根拠にする。
3. File Browser本体への直接到達を確認する
攻撃リクエストを送る必要はありません。ネットワーク構成と自組織の管理設定から、次を確認します。
- File Browserの待ち受けが、必要以上に広いインターフェースへ公開されていないか。
- コンテナポート、ホストポート、Security Group、ファイアウォール、Kubernetes Serviceが、信頼済みプロキシ以外を許可していないか。
- 管理用VPN、トンネル、ポートフォワード、障害対応用の例外経路が残っていないか。
- リバースプロキシが、クライアントから届く認証用ヘッダーを削除または上書きしているか。
- ヘルスチェックや監視のための例外が、一般リクエストにも使える経路になっていないか。
4. ログと現在状態を保全する
- File Browser、リバースプロキシ、IdP、ファイアウォール、ホストのログを保全する。
- ユーザー一覧、管理者、権限、スコープ、共有、設定の現在状態を記録する。
- 更新前後の設定ファイル、デプロイ定義、イメージ識別子を保存する。
- ファイルの追加・変更・削除・共有・ダウンロードの監査情報を確認する。
- ログが取得できない場合は、その範囲と代替証跡を明記する。
推奨される初動対応
CVE-2026-54088:Hook認証を使う場合
- File BrowserのバージョンとHook認証の有無を確認する。
- 2.63.5以前なら、証跡と設定を保全して2.63.6以降への更新を計画する。
- 更新までの間、インターネット公開を停止または信頼済み経路へ限定する。
- 更新後にバージョン、認証、ファイル操作、主要機能を確認する。
- 不審なログ、設定、アカウント、ファイル変更があればCSIRTへ上げる。
CVE-2026-54089:Proxy認証を使う場合
- File Browser本体を、信頼済みリバースプロキシだけから到達可能にする。
- バックエンドの直接公開、余分なポート、例外経路、トンネルを閉じる。
- リバースプロキシで、認証用の本人情報ヘッダーを必ず削除・上書きする。
- 安全な公開境界をすぐ確認できない場合は、一時停止または検証済みの別認証方式への切り替えを判断する。
- GitHub AdvisoryとFile Browserのリリースを継続確認し、修正版が公開されたら変更管理へ載せる。
認証方式の変更は、利用者のログイン、権限、監査、緊急アクセスへ影響します。必ず変更責任者、ロールバック条件、完了確認を決めてから実施してください。
やってはいけないこと
- 公開された再現手順やヘッダーを本番環境へ送って確認しない。
- ログや設定を保全する前に、コンテナやVMを削除・再作成しない。
- 2.63.6へ更新しただけで、Proxy認証の直接到達リスクも解消したと判断しない。
- IdPでMFAを有効にしていることだけを根拠に、バックエンド直達を安全と判断しない。
- 不審なアカウントやファイルを見つけた際、証跡を残さず削除して終わらせない。
- 調査対象のURL、設定、ファイル名、認証情報を公開Issueや通常チャットへ貼らない。
判断基準とエスカレーション条件
| 優先度 | 条件 | 推奨する判断 |
|---|---|---|
| 緊急 | Hook認証を使う2.63.5以前がインターネット公開されている | 公開制限、証跡保全、2.63.6以降への更新を最優先で進める |
| 緊急 | Proxy認証で、File Browserへ信頼済みプロキシ以外から到達できる | バックエンド直達を遮断し、アカウント・権限・操作ログを確認する |
| 緊急 | 心当たりのない管理者、ユーザー、権限、設定、ファイル操作がある | 認証侵害・情報漏えい疑いとしてCSIRTへ上げる |
| 高 | 公開経路、認証方式、ログ取得可否のいずれかを確認できない | 「影響なし」にせず、一時停止または到達制限を検討する |
| 高 | 顧客・従業員・契約・バックアップなど機密性の高いファイルを扱う | 法務・プライバシー・データ所有者を含めて影響評価する |
| 中 | JSON認証で直接の対象条件ではないが、公開範囲や版が不明 | 通常の脆弱性対応として版、公開範囲、MFA・権限を確認する |
| 低 | File Browser未利用を資産台帳と実環境で確認し、根拠を記録済み | 対象外として記録し、セルフホスト型ツールの棚卸し周期を確認する |
記録テンプレート
対象インスタンス・所有者:
用途・保存データ分類:
設置場所・実行方式:
File Browserバージョン:
認証方式(JSON/Proxy/Hook):
公開URL・待ち受け・ポート:
リバースプロキシ・IdP:
バックエンド直達の可否・確認根拠:
認証用ヘッダーの削除/上書き設定:
対象/対象外/未確認の判断:
暫定緩和・実施時刻:
更新前後のバージョン:
保全したログ・対象期間・保管場所:
ユーザー・管理者・権限の確認結果:
設定・共有・ファイル操作の確認結果:
不審事象の有無:
報告先・担当者:
未確認事項・期限:
残リスク・次回確認日時:
確認結果は「確認済み」「推定」「未確認」を分けます。特にCVE-2026-54089はネットワーク構成に依存するため、図面だけでなく、実際のファイアウォール、ポート公開、プロキシ設定を確認した根拠を残します。
よくある誤解
「最新版なら2件とも解消している」
CVE-2026-54088には2.63.6という修正版があります。一方、CVE-2026-54089はGitHub Advisoryの2026年7月10日更新時点で修正版なしです。対象条件と緩和策を別々に確認します。
「リバースプロキシの前段でSSOしているので安全」
File Browser本体へ別経路で到達できる場合、前段認証を通らない通信が生じます。信頼済みプロキシ以外からバックエンドへ到達できないことが必要です。
「既定設定ではないので調査不要」
既定のJSON認証がCVE-2026-54089の条件でなくても、実際の構成が既定のままとは限りません。設定、起動引数、環境変数、構成管理を確認します。
「脆弱性の有無を確かめるには攻撃を試す必要がある」
必要ありません。対象判定は、版、認証方式、ネットワーク経路、プロキシのヘッダー処理を自組織の設定から確認できます。攻撃再現は証跡や業務へ影響し、適切な確認方法ではありません。
関連するCyberLens内部リンク
- セルフホスト型ファイル共有 認証・公開範囲点検チェックリスト:対象判定から記録・エスカレーションまで実務で進める。
- インターネット公開管理画面 緊急点検チェックリスト:管理・認証画面の外部公開を横断確認する。
- CVE初動対応チェックリスト:CVE公表後の対象有無と優先度を整理する。
- 認証と認可の違い:本人確認と権限判断を分けて理解する。
- 認証とは:認証方式と信頼境界の基本を確認する。
- 最小権限の原則:File Browserのユーザー・スコープ・実行権限を見直す。
- 管理プレーンセキュリティ:公開管理面を安全に運用する考え方を学ぶ。
- セキュリティニュース一覧:最新の脆弱性対応記事を確認する。
公式情報・参考情報
- GitHub Advisory: CVE-2026-54088 / GHSA-m93h-4hw7-5qcm
- GitHub Advisory: CVE-2026-54089 / GHSA-xqp3-jq6g-x3qm
- File Browser Release v2.63.6
- NVD: CVE-2026-54088
- NVD: CVE-2026-54089
- File Browser Documentation: Authentication
この記事は2026年7月14日に、上記の一次情報を再確認して作成しました。CVE-2026-54089の修正版や追加の緩和策が今後公開される可能性があるため、対応時にはGitHub AdvisoryとFile Browser公式リリースの最新状態を確認してください。