Plataforma
go
Componente
github.com/alist-org/alist
Corregido en
3.57.1
3.57.0
CVE-2026-25160 describe una vulnerabilidad de configuración TLS insegura en alist, una herramienta de almacenamiento en la nube. Esta falla permite a atacantes realizar ataques de intermediario (Man-in-the-Middle) interceptando y manipulando el tráfico de red. La vulnerabilidad afecta a versiones anteriores a 3.57.0 y ha sido publicada el 5 de febrero de 2026. Se recomienda actualizar a la versión 3.57.0 para mitigar el riesgo.
La configuración TLS insegura en alist expone a los usuarios a graves riesgos de seguridad. Un atacante que explote esta vulnerabilidad puede interceptar el tráfico de red entre el cliente y el servidor alist, permitiéndole leer, modificar o incluso inyectar datos confidenciales. Esto podría resultar en el robo de credenciales de usuario, la manipulación de archivos almacenados en la nube o la ejecución de código malicioso en el servidor. La falta de una configuración TLS adecuada debilita la protección de la confidencialidad e integridad de los datos, comprometiendo la seguridad general del sistema.
La vulnerabilidad CVE-2026-25160 ha sido publicada públicamente el 5 de febrero de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (configuración TLS insegura) la hace susceptible a explotación por atacantes con conocimientos técnicos. La probabilidad de explotación se considera media debido a la facilidad relativa de realizar ataques Man-in-the-Middle.
Organizations and individuals using Alist for file storage and sharing, particularly those handling sensitive data, are at significant risk. This includes users who have not regularly updated their Alist installation and those relying on default TLS configurations.
• go / server: Inspect Alist's TLS configuration files for weak cipher suites or outdated protocols. Use openssl sclient -connect <alistserver>:443 to check the negotiated cipher suite.
openssl s_client -connect alist.example.com:443 -tls1_2• generic web: Use online TLS checkers (e.g., SSL Labs) to assess the server's TLS configuration and identify potential weaknesses. • generic web: Monitor access logs for unusual traffic patterns or connections from unexpected IP addresses.
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25160 es actualizar alist a la versión 3.57.0 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar configuraciones TLS más robustas, como forzar el uso de cifrados fuertes y deshabilitar protocolos TLS obsoletos. Además, se pueden utilizar reglas en un firewall de aplicaciones web (WAF) o un proxy inverso para inspeccionar y bloquear el tráfico malicioso. Verifique la configuración TLS después de la actualización utilizando herramientas como openssl s_client para confirmar que se están utilizando cifrados seguros.
Actualice Alist a la versión 3.57.0 o superior. Esta versión corrige la configuración TLS insegura que permite ataques Man-in-the-Middle. La actualización asegura que la verificación del certificado TLS esté habilitada, protegiendo la confidencialidad e integridad de los datos transmitidos durante las operaciones de almacenamiento.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25160 is a CRITICAL vulnerability in Alist allowing attackers to intercept encrypted traffic. It affects versions before 3.57.0, potentially exposing sensitive data.
You are affected if you are running Alist version 3.57.0 or earlier. Immediately check your version and upgrade to mitigate the risk.
Upgrade Alist to version 3.57.0 or later. If immediate upgrade is not possible, implement temporary workarounds like WAF rules and strict TLS cipher suites.
Currently, there are no publicly known active exploitation campaigns, but the CRITICAL severity suggests a potential for exploitation.
Refer to the Alist project's GitHub repository and release notes for the official advisory and detailed information regarding the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.