Plataforma
go
Componente
github.com/alist-org/alist
Corrigido em
3.57.1
3.57.0
O CVE-2026-25161 representa uma vulnerabilidade de Path Traversal descoberta em alist, um software de armazenamento em nuvem. Essa falha permite que atacantes acessem arquivos e diretórios fora do escopo pretendido, potencialmente expondo dados sensíveis. A vulnerabilidade afeta versões anteriores a 3.57.0 e foi publicada em 05 de fevereiro de 2026. A atualização para a versão 3.57.0 ou a implementação de medidas de mitigação são recomendadas.
A exploração bem-sucedida do CVE-2026-25161 pode permitir que um atacante obtenha acesso não autorizado a arquivos confidenciais armazenados no servidor alist. Isso pode incluir informações pessoais, dados de configuração, chaves de API ou outros dados sensíveis. Dependendo da configuração do sistema, um atacante pode até conseguir executar código arbitrário no servidor, comprometendo a integridade e a confidencialidade do sistema. A vulnerabilidade reside em múltiplos manipuladores de arquivos, ampliando a superfície de ataque e tornando a exploração mais fácil. A falta de validação adequada dos caminhos de arquivo permite que um atacante utilize sequências como '..' para navegar para fora do diretório raiz e acessar arquivos em locais inesperados.
A vulnerabilidade foi publicada em 05 de fevereiro de 2026. Não há informações disponíveis sobre a inclusão em KEV ou a atribuição de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade de Path Traversal a torna relativamente fácil de explorar, aumentando a probabilidade de exploração em breve. A falta de um patch anterior indica que a vulnerabilidade pode ter permanecido não detectada por um período significativo.
Organizations and individuals using alist for file sharing and storage are at risk, particularly those running older versions prior to 3.57.0. Shared hosting environments where multiple users share the same alist instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data.
• linux / server:
find /opt/alist -name '*alist*' -type f -exec grep -i '../' {} + # Search for '..' in alist files• generic web:
curl -I 'http://your-alist-instance/../../../../etc/passwd' # Attempt to access sensitive files• linux / server:
journalctl -u alist -f | grep -i 'path traversal' # Monitor alist logs for path traversal attemptsdisclosure
Status do Exploit
EPSS
0.03% (percentil 7%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-25161 é a atualização para a versão 3.57.0 do alist, que corrige a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível, considere implementar regras de Web Application Firewall (WAF) para bloquear solicitações que contenham sequências de Path Traversal (por exemplo, '..'). Além disso, revise as permissões de arquivo e diretório para garantir que o alist tenha apenas acesso aos recursos necessários. Monitore os logs do alist em busca de tentativas de acesso a arquivos fora do diretório esperado. Implementar uma política de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de uma possível exploração, restringindo as fontes de conteúdo que o navegador pode carregar.
Actualice Alist a la versión 3.57.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. Descargue la última versión desde el sitio web oficial o el repositorio de AlistGo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25161 is a Path Traversal vulnerability in alist (github.com/alist-org/alist) allowing attackers to read arbitrary files on the server.
You are affected if you are running alist versions prior to 3.57.0. Upgrade to the latest version to mitigate the risk.
Upgrade alist to version 3.57.0 or later. Consider temporary workarounds like restricting file access and using a WAF if immediate upgrade is not possible.
There is currently no indication of active exploitation campaigns, but the vulnerability's nature makes exploitation likely.
Refer to the alist GitHub repository and release notes for the official advisory and details on the fix: https://github.com/alist-org/alist
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.