HIGHCVE-2026-25059CVSS 8.8

OpenList 存在于 github.com/OpenListTeam/OpenList 的文件复制和删除处理程序中的路径遍历漏洞

Q: 什么是CVE-2026-25059 — 路径遍历漏洞在OpenList中？

CVE-2026-25059描述了OpenList文件复制和删除处理程序中的路径遍历漏洞，攻击者可利用此漏洞访问服务器上的任意文件。

Q: 我是否受到CVE-2026-25059在OpenList中影响？

如果您正在使用OpenList 4.1.10之前的版本，则可能受到此漏洞的影响。请立即升级至4.1.10版本。

Q: 我如何修复CVE-2026-25059在OpenList中？

最有效的修复方法是升级至OpenList 4.1.10版本。如果无法升级，请使用WAF并限制对文件处理程序的访问。

Q: CVE-2026-25059是否正在被积极利用？

目前尚未确认CVE-2026-25059正在被积极利用，但由于漏洞的严重性，建议密切关注安全动态。

Q: 在哪里可以找到OpenList官方关于CVE-2026-25059的公告？

请访问OpenList项目的官方GitHub仓库或相关安全公告页面以获取更多信息。

平台

组件

github.com/openlistteam/openlist

修复版本

4.1.11

4.1.10

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-25059描述了OpenList项目中的路径遍历漏洞。该漏洞允许攻击者通过操纵文件复制和删除处理程序，访问服务器上的敏感文件。此漏洞影响OpenList 4.1.10之前的版本，建议用户尽快升级至4.1.10版本以缓解风险。

影响与攻击场景

攻击者可以利用此路径遍历漏洞读取或修改服务器上的任意文件，包括配置文件、源代码和用户数据。这可能导致敏感信息泄露、恶意代码注入或系统完整性受损。如果攻击者能够访问数据库凭据，他们可能能够访问整个数据库。由于OpenList可能被用于存储敏感数据，因此该漏洞的潜在影响非常严重。攻击者可能通过构造恶意的文件路径来触发此漏洞，例如，通过上传包含特殊字符的文件来绕过安全检查。

利用背景

该漏洞已公开披露，且CVSS评分为高危。目前尚未发现公开的PoC，但由于路径遍历漏洞的普遍性，预计未来可能会出现。建议密切关注安全社区的动态，并及时更新安全补丁。该漏洞尚未被添加到CISA KEV目录。

哪些人处于风险中翻译中…

Organizations deploying OpenList in production environments, particularly those with sensitive data stored or processed by the application, are at risk. Environments with weak file system permissions or inadequate input validation are especially vulnerable. Shared hosting environments where multiple users share the same server instance should also be considered at higher risk.

检测步骤翻译中…

• go / server: Inspect application logs for unusual file access patterns or attempts to access files outside of the expected directories. Look for requests containing ../ sequences in file paths.

grep '../' /var/log/openlist/access.log

• generic web: Monitor web server access logs for requests targeting file copy or removal endpoints with suspicious parameters. Use a WAF to block requests containing path traversal sequences.

curl -I 'http://your-openlist-server/copy?file=../../../../etc/passwd'

• generic web: Check response headers for unexpected content types or file extensions when accessing file copy/remove endpoints. A successful path traversal might return a sensitive file with an incorrect content type.

攻击时间线

2026-02-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.03% (7% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件github.com/openlistteam/openlist

供应商osv

影响范围修复版本

< 4.1.10 – < 4.1.104.1.11

—4.1.10

弱点分类 (CWE)

CWE-22

时间线

已保留2026-01-28
发布日期2026-02-05
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级至OpenList 4.1.10版本。如果无法立即升级，可以考虑使用Web应用防火墙（WAF）来过滤恶意请求，并限制对文件复制和删除处理程序的访问。此外，应审查OpenList的配置，确保文件存储目录的权限设置正确，并禁用不必要的目录访问。在升级后，请验证文件复制和删除功能是否正常工作，并检查系统日志中是否有异常活动。

修复方法翻译中…

Actualice OpenList a la versión 4.1.10 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite el acceso no autorizado a archivos. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización proporcionado por la aplicación.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-25059 — 路径遍历漏洞在OpenList中？