Platform
go
Component
github.com/alist-org/alist
Opgelost in
3.57.1
3.57.0
CVE-2026-25161 describes a Path Traversal vulnerability affecting alist, a file sharing and storage application. This vulnerability allows attackers to potentially read arbitrary files on the server, leading to sensitive data exposure. The vulnerability impacts versions of alist prior to 3.57.0, and a patch has been released to address the issue.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot willekeurige bestanden op het systeem waarop alist draait. Dit omvat potentieel configuratiebestanden, broncode, en andere gevoelige data. Een aanvaller kan deze toegang gebruiken om de integriteit van het systeem te compromitteren, gevoelige informatie te stelen, of zelfs de controle over het systeem over te nemen. De impact is aanzienlijk, vooral in omgevingen waar alist wordt gebruikt om gevoelige data te delen of te hosten. Dit soort kwetsbaarheden kunnen vergelijkbare gevolgen hebben als die in andere file sharing applicaties, waarbij ongeautoriseerde toegang tot bestanden een ernstig risico vormt.
CVE-2026-25161 werd publiekelijk bekendgemaakt op 2026-02-05. Er is momenteel geen publiek beschikbare proof-of-concept (POC) code bekend. De KEV status is momenteel onbekend. De CVSS score van 8.8 (HIGH) duidt op een significant risico en vereist onmiddellijke aandacht.
Organizations and individuals using alist for file sharing and storage are at risk, particularly those running older versions prior to 3.57.0. Shared hosting environments where multiple users share the same alist instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data.
• linux / server:
find /opt/alist -name '*alist*' -type f -exec grep -i '../' {} + # Search for '..' in alist files• generic web:
curl -I 'http://your-alist-instance/../../../../etc/passwd' # Attempt to access sensitive files• linux / server:
journalctl -u alist -f | grep -i 'path traversal' # Monitor alist logs for path traversal attemptsdisclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-25161 is het upgraden van alist naar versie 3.57.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de toegankelijke paden binnen alist. Dit kan worden bereikt door de configuratie van alist aan te passen om te voorkomen dat gebruikers bestanden buiten de toegewezen directory benaderen. Het monitoren van alist logs op verdachte activiteit, zoals pogingen om bestanden buiten de verwachte paden te benaderen, kan ook helpen bij het detecteren en voorkomen van exploits. Na de upgrade, controleer de alist configuratie om te verzekeren dat de toegangsrechten correct zijn ingesteld.
Actualice Alist a la versión 3.57.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. Descargue la última versión desde el sitio web oficial o el repositorio de AlistGo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25161 is a Path Traversal vulnerability in alist (github.com/alist-org/alist) allowing attackers to read arbitrary files on the server.
You are affected if you are running alist versions prior to 3.57.0. Upgrade to the latest version to mitigate the risk.
Upgrade alist to version 3.57.0 or later. Consider temporary workarounds like restricting file access and using a WAF if immediate upgrade is not possible.
There is currently no indication of active exploitation campaigns, but the vulnerability's nature makes exploitation likely.
Refer to the alist GitHub repository and release notes for the official advisory and details on the fix: https://github.com/alist-org/alist
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.