Plateforme
go
Composant
github.com/openlistteam/openlist
Corrigé dans
4.1.11
4.1.10
La vulnérabilité CVE-2026-25059 est une faille de traversal de chemin (Path Traversal) découverte dans OpenList, une bibliothèque Go développée par OpenListTeam. Cette faille permet à un attaquant d'accéder à des fichiers sensibles sur le serveur. Elle affecte les versions antérieures à 4.1.10 et peut être exploitée pour compromettre la confidentialité des données. Une version corrigée (4.1.10) est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires situés sur le serveur hébergeant OpenList. Cela inclut potentiellement des fichiers de configuration, des clés API, des données sensibles des utilisateurs, ou même des composants du système d'exploitation. L'attaquant pourrait ainsi obtenir un accès non autorisé à des informations critiques et compromettre la sécurité globale du système. Bien que le vecteur d'attaque précis ne soit pas détaillé, la nature de la faille de traversal de chemin suggère qu'elle pourrait être exploitée via des requêtes HTTP malformées, contournant les mécanismes de contrôle d'accès standard. Cette vulnérabilité est similaire à d'autres failles de traversal de chemin où l'attaquant manipule les chemins de fichiers pour accéder à des ressources non autorisées.
Le CVE-2026-25059 a été publié le 5 février 2026. Aucune information concernant une exploitation active ou un PoC public n'est actuellement disponible. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nature de la vulnérabilité et de la disponibilité potentielle d'outils d'exploitation de traversal de chemin. Il est conseillé de surveiller les sources d'information sur les vulnérabilités (NVD, CISA) pour toute mise à jour concernant cette vulnérabilité.
Organizations deploying OpenList in production environments, particularly those with sensitive data stored or processed by the application, are at risk. Environments with weak file system permissions or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same server instance should also be considered at higher risk.
• go / server: Inspect application logs for unusual file access patterns or attempts to access files outside of the expected directories. Look for requests containing ../ sequences in file paths.
grep '../' /var/log/openlist/access.log• generic web: Monitor web server access logs for requests targeting file copy or removal endpoints with suspicious parameters. Use a WAF to block requests containing path traversal sequences.
curl -I 'http://your-openlist-server/copy?file=../../../../etc/passwd'• generic web: Check response headers for unexpected content types or file extensions when accessing file copy/remove endpoints. A successful path traversal might return a sensitive file with an incorrect content type.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenList vers la version 4.1.10 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures de sécurité temporaires peuvent être mises en place. Il est crucial de restreindre les permissions de l'utilisateur exécutant OpenList au strict minimum nécessaire. De plus, une configuration stricte des listes blanches de fichiers autorisés pour les opérations de copie et de suppression peut aider à limiter l'impact potentiel. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute tentative d'accès non autorisé aux fichiers. L'implémentation d'une WAF (Web Application Firewall) avec des règles spécifiques pour bloquer les requêtes contenant des séquences de traversal de chemin (../) peut également offrir une protection supplémentaire.
Actualice OpenList a la versión 4.1.10 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite el acceso no autorizado a archivos. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización proporcionado por la aplicación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25059 is a Path Traversal vulnerability affecting OpenList versions before 4.1.10, allowing attackers to read arbitrary files via manipulated file copy and remove handlers.
You are affected if you are using OpenList versions prior to 4.1.10. Upgrade to the latest version to remediate the vulnerability.
Upgrade OpenList to version 4.1.10 or later. As a temporary workaround, implement stricter input validation and consider using a WAF.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation if left unpatched.
Refer to the OpenList project's official repository and release notes for the advisory and detailed information regarding the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.