Plateforme
go
Composant
github.com/alist-org/alist
Corrigé dans
3.57.1
3.57.0
La vulnérabilité CVE-2026-25161 est une faille de traversal de chemin (Path Traversal) affectant le logiciel alist, développé par github.com/alist-org/alist. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Les versions concernées sont celles antérieures à la version 3.57.0. Une correction a été déployée dans la version 3.57.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers du serveur hébergeant alist. Cela inclut potentiellement des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe ou d'autres données confidentielles. L'attaquant pourrait également accéder à des fichiers appartenant à d'autres utilisateurs du système, en fonction des permissions configurées. Le risque est significatif car la faille se trouve dans des gestionnaires de fichiers, ce qui augmente la surface d'attaque. Une exploitation réussie pourrait mener à une compromission complète du serveur et à la divulgation de données sensibles.
La vulnérabilité CVE-2026-25161 a été rendue publique le 2026-02-05. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de la faille de traversal de chemin et de la disponibilité potentielle de preuves de concept publiques. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant l'exploitation de cette vulnérabilité.
Organizations and individuals using alist for file sharing and storage are at risk, particularly those running older versions prior to 3.57.0. Shared hosting environments where multiple users share the same alist instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data.
• linux / server:
find /opt/alist -name '*alist*' -type f -exec grep -i '../' {} + # Search for '..' in alist files• generic web:
curl -I 'http://your-alist-instance/../../../../etc/passwd' # Attempt to access sensitive files• linux / server:
journalctl -u alist -f | grep -i 'path traversal' # Monitor alist logs for path traversal attemptsdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour alist vers la version 3.57.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les restrictions d'accès aux fichiers et répertoires accessibles via alist. Cela peut inclure la configuration de règles de pare-feu pour limiter l'accès aux fichiers sensibles, ou l'utilisation d'un serveur proxy inverse pour filtrer les requêtes. Il est également conseillé de surveiller les journaux d'accès d'alist pour détecter toute tentative d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité des fichiers et assurez-vous que les permissions sont correctement configurées.
Actualice Alist a la versión 3.57.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. Descargue la última versión desde el sitio web oficial o el repositorio de AlistGo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25161 is a Path Traversal vulnerability in alist (github.com/alist-org/alist) allowing attackers to read arbitrary files on the server.
You are affected if you are running alist versions prior to 3.57.0. Upgrade to the latest version to mitigate the risk.
Upgrade alist to version 3.57.0 or later. Consider temporary workarounds like restricting file access and using a WAF if immediate upgrade is not possible.
There is currently no indication of active exploitation campaigns, but the vulnerability's nature makes exploitation likely.
Refer to the alist GitHub repository and release notes for the official advisory and details on the fix: https://github.com/alist-org/alist
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.