HIGHCVE-2026-25161CVSS 8.8

github.com/alist-org/alistにおける複数のファイル操作ハンドラにPath Traversalの脆弱性があります

Q: CVE-2026-25161 — パス・トラバーサル脆弱性とは、alistにおいてどのような問題を引き起こしますか？

CVE-2026-25161は、alistのファイル操作ハンドラにおけるパス・トラバーサル脆弱性で、攻撃者がファイルシステム内の機密情報に不正にアクセスする可能性があります。

Q: CVE-2026-25161において、alistのどのバージョンが影響を受けますか？

CVE-2026-25161の影響を受けるのは、github.com/alist-org/alistのバージョン3.57.0以前です。

Q: CVE-2026-25161を修正するにはどうすればよいですか？

CVE-2026-25161を修正するには、github.com/alist-org/alistをバージョン3.57.0にアップグレードしてください。

Q: CVE-2026-25161は現在積極的に悪用されていますか？

現時点では、CVE-2026-25161を悪用する公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。

Q: CVE-2026-25161に関する公式のアリストアドバイザリはどこで入手できますか？

github.com/alist-org/alistの公式リポジトリまたは関連するセキュリティアナウンスメントをご確認ください。

プラットフォーム

コンポーネント

github.com/alist-org/alist

修正版

3.57.1

3.57.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-25161は、github.com/alist-org/alistにおいて発生するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステム内の機密情報にアクセスできる可能性があります。影響を受けるバージョンは3.57.0以前です。開発者はバージョン3.57.0へのアップグレードを推奨しています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がalistのファイル操作ハンドラを悪用することで、本来アクセスできないファイルシステム上のファイルにアクセスすることを可能にします。攻撃者は、設定ファイル、データベースファイル、またはユーザーがアップロードした機密データを含むファイルにアクセスする可能性があります。これにより、情報漏洩、システム改ざん、さらにはシステム全体の制御奪取につながる可能性があります。攻撃者は、この脆弱性を利用して、Webサーバーのルートディレクトリにアクセスし、機密情報を盗み出す可能性があります。

悪用の状況

CVE-2026-25161は2026年2月5日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報を盗み出す可能性があります。

リスク対象者翻訳中…

Organizations and individuals using alist for file sharing and storage are at risk, particularly those running older versions prior to 3.57.0. Shared hosting environments where multiple users share the same alist instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data.

検出手順翻訳中…

• linux / server:

find /opt/alist -name '*alist*' -type f -exec grep -i '../' {} + # Search for '..' in alist files

• generic web:

curl -I 'http://your-alist-instance/../../../../etc/passwd' # Attempt to access sensitive files

• linux / server:

journalctl -u alist -f | grep -i 'path traversal' # Monitor alist logs for path traversal attempts

攻撃タイムライン

2026-02-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (7% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/alist-org/alist

ベンダーosv

影響範囲修正版

< 3.57.0 – < 3.57.03.57.1

—3.57.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-29
公開日2026-02-05
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずgithub.com/alist-org/alistをバージョン3.57.0にアップグレードすることを強く推奨します。アップグレードが直ちに実行できない場合は、ファイルアクセスを制限するWAF（Web Application Firewall）ルールを実装し、不正なファイルパスへのアクセスをブロックすることを検討してください。また、ファイル操作に関連する入力の検証を強化し、パス・トラバーサル攻撃を防ぐための対策を講じることが重要です。アップグレード後、ファイル操作のテストを実施し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice Alist a la versión 3.57.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. Descargue la última versión desde el sitio web oficial o el repositorio de AlistGo.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-25161 — パス・トラバーサル脆弱性とは、alistにおいてどのような問題を引き起こしますか？