Plataforma
go
Componente
github.com/openlistteam/openlist
Corrigido em
4.1.11
4.1.10
Uma vulnerabilidade de Path Traversal foi descoberta em OpenList, um projeto em Go. Essa falha permite que atacantes acessem arquivos arbitrários no sistema, potencialmente expondo dados confidenciais. A vulnerabilidade afeta versões anteriores a 4.1.10 e foi publicada em 05 de fevereiro de 2026. A correção está disponível na versão 4.1.10.
A vulnerabilidade de Path Traversal em OpenList permite que um atacante contorne os mecanismos de controle de acesso e acesse arquivos que não deveriam estar acessíveis. Um atacante pode explorar essa falha para ler arquivos de configuração, chaves de API, dados de usuários ou outros dados sensíveis armazenados no sistema. O impacto potencial é a exposição de informações confidenciais, comprometimento da integridade do sistema e, em alguns casos, a execução de código malicioso se arquivos executáveis forem acessíveis. A exploração bem-sucedida pode levar a um comprometimento completo do sistema, dependendo das permissões do usuário que executa o código vulnerável.
A vulnerabilidade foi publicada em 05 de fevereiro de 2026. Não há informações disponíveis sobre a existência de um KEV (Key Evidence Base) ou EPSS (Exploit Prediction Scoring System) score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração.
Organizations deploying OpenList in production environments, particularly those with sensitive data stored or processed by the application, are at risk. Environments with weak file system permissions or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same server instance should also be considered at higher risk.
• go / server: Inspect application logs for unusual file access patterns or attempts to access files outside of the expected directories. Look for requests containing ../ sequences in file paths.
grep '../' /var/log/openlist/access.log• generic web: Monitor web server access logs for requests targeting file copy or removal endpoints with suspicious parameters. Use a WAF to block requests containing path traversal sequences.
curl -I 'http://your-openlist-server/copy?file=../../../../etc/passwd'• generic web: Check response headers for unexpected content types or file extensions when accessing file copy/remove endpoints. A successful path traversal might return a sensitive file with an incorrect content type.
disclosure
Status do Exploit
EPSS
0.03% (percentil 7%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-25059 é atualizar para a versão 4.1.10 do OpenList. Se a atualização imediata não for possível, considere implementar controles de acesso mais rigorosos nos diretórios onde o OpenList armazena arquivos, restringindo o acesso apenas aos usuários e processos autorizados. Implementar validação robusta de entrada para todos os caminhos de arquivo fornecidos pelo usuário pode ajudar a prevenir a exploração. Monitore os logs do sistema em busca de tentativas de acesso a arquivos fora dos diretórios esperados.
Actualice OpenList a la versión 4.1.10 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite el acceso no autorizado a archivos. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización proporcionado por la aplicación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25059 is a Path Traversal vulnerability affecting OpenList versions before 4.1.10, allowing attackers to read arbitrary files via manipulated file copy and remove handlers.
You are affected if you are using OpenList versions prior to 4.1.10. Upgrade to the latest version to remediate the vulnerability.
Upgrade OpenList to version 4.1.10 or later. As a temporary workaround, implement stricter input validation and consider using a WAF.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation if left unpatched.
Refer to the OpenList project's official repository and release notes for the advisory and detailed information regarding the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.