1. OpenList 4.1.4-2 曝高危漏洞:路径遍历与 TLS 验证缺失,可导致跨用户文件操作与中间人攻击
开源项目 OpenList 版本 4.1.4-2 被披露存在两个高危安全漏洞,已分配 CVE 编号 CVE-2026-25059 和 CVE-2026-25060。 第一个漏洞(CVE-2026-25059)为路径遍历漏洞(CWE-22),存在于多个文件操作处理程序中。经过身份验证的攻击者可以通过在文件名组件中注入路径遍历序列,绕过目录级别的授权检查。这导致攻击者能够在同一存储挂载点内,跨用户边界执行未经授权的文件删除和复制操作,严重破坏了用户数据的隔离性。 第二个漏洞(CVE-2026-25060)涉及 TLS 安全配置。该应用程序在默认情况下,为所有出站存储驱动程序通信禁用了 TLS 证书验证。这一配置缺陷使得系统极易受到中...