प्लेटफ़ॉर्म
go
घटक
github.com/alist-org/alist
में ठीक किया गया
3.57.1
3.57.0
CVE-2026-25161 alist में एक पथ पारगमन भेद्यता है, जो हमलावरों को अनधिकृत रूप से संवेदनशील फ़ाइलों तक पहुँचने की अनुमति दे सकती है। यह भेद्यता alist के कई फ़ाइल संचालन हैंडलर्स में मौजूद है। 3.57.0 से पहले के संस्करण प्रभावित हैं। इस समस्या को हल करने के लिए, alist को 3.57.0 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है।
यह पथ पारगमन भेद्यता हमलावरों को alist सर्वर पर संग्रहीत फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। हमलावर फ़ाइल सिस्टम के बाहर स्थित फ़ाइलों तक पहुँचने के लिए पथों में '..' अनुक्रम का उपयोग कर सकते हैं। इससे गोपनीय जानकारी का प्रकटीकरण, सिस्टम फ़ाइलों का संशोधन या यहां तक कि सर्वर पर कोड निष्पादन भी हो सकता है। इस भेद्यता का शोषण करने से गंभीर सुरक्षा उल्लंघन हो सकते हैं, खासकर यदि alist का उपयोग संवेदनशील डेटा संग्रहीत करने के लिए किया जा रहा है।
CVE-2026-25161 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन पथ पारगमन भेद्यताएँ अक्सर शोषण योग्य होती हैं। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए भेद्यता का शोषण करना आसान बना सकते हैं। इस CVE को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है। NVD और CISA की वेबसाइटों पर नवीनतम जानकारी के लिए निगरानी रखें।
Organizations and individuals using alist for file sharing and storage are at risk, particularly those running older versions prior to 3.57.0. Shared hosting environments where multiple users share the same alist instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data.
• linux / server:
find /opt/alist -name '*alist*' -type f -exec grep -i '../' {} + # Search for '..' in alist files• generic web:
curl -I 'http://your-alist-instance/../../../../etc/passwd' # Attempt to access sensitive files• linux / server:
journalctl -u alist -f | grep -i 'path traversal' # Monitor alist logs for path traversal attemptsdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-25161 के लिए प्राथमिक शमन उपाय alist को संस्करण 3.57.0 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड तत्काल संभव नहीं है, तो फ़ाइल संचालन हैंडलर्स के लिए इनपुट सत्यापन और सैनिटाइजेशन को लागू करने पर विचार करें। फ़ायरवॉल नियमों को कॉन्फ़िगर करके या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल एक्सेस को रोकने के लिए एक्सेस नियंत्रण को मजबूत करें। अतिरिक्त सुरक्षा के लिए, नियमित रूप से फ़ाइल सिस्टम अखंडता की निगरानी करें और किसी भी अनपेक्षित परिवर्तन के लिए अलर्ट सेट करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल संचालन का परीक्षण करें।
Actualice Alist a la versión 3.57.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. Descargue la última versión desde el sitio web oficial o el repositorio de AlistGo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-25161 alist में एक पथ पारगमन भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है। यह alist के फ़ाइल संचालन हैंडलर्स में मौजूद है।
यदि आप alist के 3.57.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-25161 को ठीक करने के लिए, alist को संस्करण 3.57.0 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-25161 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
आधिकारिक alist सलाहकार के लिए alist के GitHub रिपॉजिटरी या alist वेबसाइट पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।