प्लेटफ़ॉर्म
go
घटक
github.com/openlistteam/openlist
में ठीक किया गया
4.1.11
4.1.10
OpenList में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता फ़ाइल कॉपी और हटाने के हैंडलर में मौजूद है। प्रभावित संस्करण OpenList के 4.1.10 से पहले के सभी संस्करण हैं। 2026-02-05 को प्रकाशित, इस समस्या को OpenList 4.1.10 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिससे संवेदनशील डेटा का प्रकटीकरण हो सकता है। हमलावर सिस्टम कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य गोपनीय जानकारी तक पहुँच सकते हैं। यदि हमलावर को लिखने की अनुमति मिलती है, तो वे मनमाने कोड को निष्पादित करने के लिए फ़ाइलों को संशोधित भी कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह सर्वर-साइड भेद्यता है, जिसका अर्थ है कि हमलावर को उपयोगकर्ता के इंटरैक्शन की आवश्यकता नहीं है।
यह भेद्यता 2026-02-05 को सार्वजनिक रूप से उजागर की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन पथ पारगमन भेद्यताओं का इतिहास बताता है कि इसका फायदा उठाया जा सकता है। KEV स्थिति अभी तक निर्धारित नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण करने के लिए PoC जल्दी विकसित हो सकता है।
Organizations deploying OpenList in production environments, particularly those with sensitive data stored or processed by the application, are at risk. Environments with weak file system permissions or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same server instance should also be considered at higher risk.
• go / server: Inspect application logs for unusual file access patterns or attempts to access files outside of the expected directories. Look for requests containing ../ sequences in file paths.
grep '../' /var/log/openlist/access.log• generic web: Monitor web server access logs for requests targeting file copy or removal endpoints with suspicious parameters. Use a WAF to block requests containing path traversal sequences.
curl -I 'http://your-openlist-server/copy?file=../../../../etc/passwd'• generic web: Check response headers for unexpected content types or file extensions when accessing file copy/remove endpoints. A successful path traversal might return a sensitive file with an incorrect content type.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
OpenList को संस्करण 4.1.10 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो फ़ाइल कॉपी और हटाने के हैंडलर तक पहुँच को सीमित करने के लिए फ़ायरवॉल नियमों या एक्सेस कंट्रोल लिस्ट (ACL) का उपयोग किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन को लागू करना और फ़ाइल पथों को सैनिटाइज़ करना अतिरिक्त सुरक्षा प्रदान कर सकता है। सुनिश्चित करें कि OpenList इंस्टेंस पर सभी फ़ाइलों और निर्देशिकाओं के लिए उचित अनुमतियाँ सेट हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल कॉपी और हटाने के कार्यों का परीक्षण करके।
Actualice OpenList a la versión 4.1.10 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite el acceso no autorizado a archivos. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización proporcionado por la aplicación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-25059 OpenList में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह फ़ाइल कॉपी और हटाने के हैंडलर में मौजूद है।
यदि आप OpenList के संस्करण 4.1.10 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
OpenList को संस्करण 4.1.10 में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो फ़ायरवॉल नियमों या ACL का उपयोग करके फ़ाइल कॉपी और हटाने के हैंडलर तक पहुँच को सीमित करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका फायदा उठाया जा सकता है।
आधिकारिक OpenList सलाहकार के लिए OpenList वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।