平台
go
组件
github.com/alist-org/alist
修复版本
3.57.1
3.57.0
CVE-2026-25161 描述了 alist 中的路径遍历漏洞。此漏洞允许攻击者通过操纵文件操作处理程序读取服务器上的任意文件,可能导致敏感信息泄露。该漏洞影响 alist 的所有版本,建议尽快升级至 3.57.0 版本以缓解风险。
攻击者可以利用此路径遍历漏洞访问 alist 服务器上的任何文件,包括配置文件、源代码、数据库备份等。如果这些文件包含敏感信息,例如 API 密钥、数据库密码或用户数据,攻击者就可以利用这些信息进行进一步的攻击,例如数据泄露、权限提升或系统控制。由于 alist 通常用于文件存储和共享,因此该漏洞的潜在影响范围非常广泛,可能影响到大量用户的数据安全。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。
Organizations and individuals using alist for file sharing and storage are at risk, particularly those running older versions prior to 3.57.0. Shared hosting environments where multiple users share the same alist instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data.
• linux / server:
find /opt/alist -name '*alist*' -type f -exec grep -i '../' {} + # Search for '..' in alist files• generic web:
curl -I 'http://your-alist-instance/../../../../etc/passwd' # Attempt to access sensitive files• linux / server:
journalctl -u alist -f | grep -i 'path traversal' # Monitor alist logs for path traversal attemptsdisclosure
漏洞利用状态
EPSS
0.03% (7% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级至 alist 3.57.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求,阻止攻击者利用路径遍历漏洞。此外,应限制 alist 应用程序的权限,确保其只能访问必要的文件和目录。定期审查 alist 的配置,确保其遵循安全最佳实践。
Actualice Alist a la versión 3.57.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. Descargue la última versión desde el sitio web oficial o el repositorio de AlistGo.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25161 描述了 alist 中的路径遍历漏洞,攻击者可以利用此漏洞读取服务器上的任意文件。
如果您正在使用 alist 的任何版本,则可能受到此漏洞的影响。建议立即升级至 3.57.0 版本。
升级至 alist 3.57.0 或更高版本是修复此漏洞的最佳方法。如果无法升级,请考虑使用 WAF 或限制 alist 的权限。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 alist 的官方 GitHub 仓库或官方网站,查找有关此漏洞的公告和修复信息。
上传你的 go.mod 文件,立即知道是否受影响。