Plataforma
go
Componente
github.com/alist-org/alist
Corregido en
3.57.1
3.57.0
CVE-2026-25161 describe una vulnerabilidad de Path Traversal presente en alist, una aplicación de almacenamiento de archivos auto-hospedada. Esta vulnerabilidad permite a atacantes acceder a archivos arbitrarios en el sistema de archivos subyacente, comprometiendo la confidencialidad de los datos. Afecta a versiones anteriores a 3.57.0 y se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
La vulnerabilidad de Path Traversal en alist permite a un atacante, mediante la manipulación de parámetros de entrada, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o datos sensibles almacenados en el servidor. Un atacante podría, por ejemplo, leer archivos de usuario, obtener credenciales de acceso, o incluso ejecutar código malicioso si el sistema de archivos subyacente tiene permisos de escritura. El impacto potencial es alto, especialmente en entornos donde alist se utiliza para almacenar información confidencial o para compartir archivos entre usuarios.
Esta vulnerabilidad fue publicada el 5 de febrero de 2026. No se ha añadido a la lista KEV de CISA al momento de esta redacción. No se han reportado públicamente exploits activos, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial para atacantes. Se recomienda monitorear activamente los sistemas que ejecutan versiones vulnerables de alist.
Organizations and individuals using alist for file sharing and storage are at risk, particularly those running older versions prior to 3.57.0. Shared hosting environments where multiple users share the same alist instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data.
• linux / server:
find /opt/alist -name '*alist*' -type f -exec grep -i '../' {} + # Search for '..' in alist files• generic web:
curl -I 'http://your-alist-instance/../../../../etc/passwd' # Attempt to access sensitive files• linux / server:
journalctl -u alist -f | grep -i 'path traversal' # Monitor alist logs for path traversal attemptsdisclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25161 es actualizar alist a la versión 3.57.0 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el sistema de archivos subyacente para limitar el acceso a archivos sensibles. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas, como '..'. Es crucial revisar la configuración de alist para asegurar que los permisos de archivo sean lo más restrictivos posible.
Actualice Alist a la versión 3.57.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. Descargue la última versión desde el sitio web oficial o el repositorio de AlistGo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25161 is a Path Traversal vulnerability in alist (github.com/alist-org/alist) allowing attackers to read arbitrary files on the server.
You are affected if you are running alist versions prior to 3.57.0. Upgrade to the latest version to mitigate the risk.
Upgrade alist to version 3.57.0 or later. Consider temporary workarounds like restricting file access and using a WAF if immediate upgrade is not possible.
There is currently no indication of active exploitation campaigns, but the vulnerability's nature makes exploitation likely.
Refer to the alist GitHub repository and release notes for the official advisory and details on the fix: https://github.com/alist-org/alist
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.