Platform
go
Component
github.com/openlistteam/openlist
Opgelost in
4.1.11
4.1.10
CVE-2026-25059 beschrijft een Path Traversal kwetsbaarheid in OpenList, een project van github.com/OpenListTeam/OpenList. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd toegang te krijgen tot bestanden op het systeem via de file copy en remove handlers. De kwetsbaarheid treft versies van OpenList die ouder zijn dan 4.1.10. Een upgrade naar de meest recente versie is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen, ongeacht de authenticatie. Dit omvat potentieel gevoelige configuratiebestanden, broncode, of andere data die opgeslagen is op de server. De impact kan aanzienlijk zijn, omdat een aanvaller toegang kan krijgen tot kritieke informatie die gebruikt kan worden voor verdere aanvallen, zoals het verkrijgen van credentials of het uitvoeren van code. De kwetsbaarheid is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij een aanvaller de padstructuur manipuleert om toegang te krijgen tot gebieden die niet toegankelijk zouden moeten zijn.
CVE-2026-25059 werd publiekelijk bekendgemaakt op 2026-02-05. Er is op dit moment geen informatie beschikbaar over actieve exploits of campagnes die deze kwetsbaarheid uitbuiten. De KEV status is momenteel onbekend. Er zijn geen publiekelijk beschikbare Proof-of-Concept (POC) exploits bekend, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst POC's zullen verschijnen.
Organizations deploying OpenList in production environments, particularly those with sensitive data stored or processed by the application, are at risk. Environments with weak file system permissions or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same server instance should also be considered at higher risk.
• go / server: Inspect application logs for unusual file access patterns or attempts to access files outside of the expected directories. Look for requests containing ../ sequences in file paths.
grep '../' /var/log/openlist/access.log• generic web: Monitor web server access logs for requests targeting file copy or removal endpoints with suspicious parameters. Use a WAF to block requests containing path traversal sequences.
curl -I 'http://your-openlist-server/copy?file=../../../../etc/passwd'• generic web: Check response headers for unexpected content types or file extensions when accessing file copy/remove endpoints. A successful path traversal might return a sensitive file with an incorrect content type.
disclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-25059 is het upgraden van OpenList naar versie 4.1.10 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de file copy en remove handlers om te voorkomen dat gebruikers willekeurige paden kunnen specificeren. Dit kan worden bereikt door input validatie toe te passen en te zorgen dat de bestandsnamen en paden voldoen aan een strikte whitelist. Het implementeren van een Web Application Firewall (WAF) met regels die Path Traversal pogingen detecteren en blokkeren kan ook helpen. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via de file copy of remove handlers; de toegang zou geweigerd moeten worden.
Actualice OpenList a la versión 4.1.10 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite el acceso no autorizado a archivos. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización proporcionado por la aplicación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25059 is a Path Traversal vulnerability affecting OpenList versions before 4.1.10, allowing attackers to read arbitrary files via manipulated file copy and remove handlers.
You are affected if you are using OpenList versions prior to 4.1.10. Upgrade to the latest version to remediate the vulnerability.
Upgrade OpenList to version 4.1.10 or later. As a temporary workaround, implement stricter input validation and consider using a WAF.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation if left unpatched.
Refer to the OpenList project's official repository and release notes for the advisory and detailed information regarding the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.