Plataforma
go
Componente
github.com/openlistteam/openlist
Corregido en
4.1.11
4.1.10
CVE-2026-25059 describe una vulnerabilidad de Path Traversal en OpenList, una biblioteca escrita en Go. Esta falla permite a un atacante acceder a archivos arbitrarios en el sistema, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a versiones anteriores a 4.1.10 y se recomienda actualizar a la versión 4.1.10 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en OpenList permite a un atacante, mediante la manipulación de parámetros en las solicitudes de copia y eliminación de archivos, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración sensibles, claves de API, o incluso código fuente. Un atacante con acceso a estos archivos podría obtener información confidencial, comprometer la integridad del sistema o ejecutar código malicioso. La severidad de este impacto se agrava si OpenList se utiliza en entornos de producción con acceso a datos críticos.
La vulnerabilidad fue publicada el 5 de febrero de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes. No se ha añadido a KEV a la fecha. La disponibilidad de un Proof of Concept (PoC) público podría aumentar la probabilidad de explotación.
Organizations deploying OpenList in production environments, particularly those with sensitive data stored or processed by the application, are at risk. Environments with weak file system permissions or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same server instance should also be considered at higher risk.
• go / server: Inspect application logs for unusual file access patterns or attempts to access files outside of the expected directories. Look for requests containing ../ sequences in file paths.
grep '../' /var/log/openlist/access.log• generic web: Monitor web server access logs for requests targeting file copy or removal endpoints with suspicious parameters. Use a WAF to block requests containing path traversal sequences.
curl -I 'http://your-openlist-server/copy?file=../../../../etc/passwd'• generic web: Check response headers for unexpected content types or file extensions when accessing file copy/remove endpoints. A successful path traversal might return a sensitive file with an incorrect content type.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25059 es actualizar a la versión 4.1.10 de OpenList. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el directorio donde se almacenan los archivos de OpenList. Esto puede incluir la configuración de permisos de archivo que restrinjan el acceso solo a los usuarios y procesos autorizados. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas que podrían indicar un intento de Path Traversal, como '..'.
Actualice OpenList a la versión 4.1.10 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite el acceso no autorizado a archivos. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización proporcionado por la aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25059 is a Path Traversal vulnerability affecting OpenList versions before 4.1.10, allowing attackers to read arbitrary files via manipulated file copy and remove handlers.
You are affected if you are using OpenList versions prior to 4.1.10. Upgrade to the latest version to remediate the vulnerability.
Upgrade OpenList to version 4.1.10 or later. As a temporary workaround, implement stricter input validation and consider using a WAF.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation if left unpatched.
Refer to the OpenList project's official repository and release notes for the advisory and detailed information regarding the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.