الثغرات ›

CVE-2026-25160

حرج ⚡ اختراق متاح

ثغرة حرجة في تجاوز التحقق من شهادات TLS في نظام إدارة الملفات Alist (CVE-2026-25160)

CWE-295 — نوع الضعف

                    نُشر: Feb 4, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

9.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Alist is a file list program that supports multiple storages, powered by Gin and Solidjs. Prior to version 3.57.0, the application disables TLS certificate verification by default for all outgoing storage driver communications, making the system vulnerable to Man-in-the-Middle (MitM) attacks. This enables the complete decryption, theft, and manipulation of all data transmitted during storage operations, severely compromising the confidentiality and integrity of user data. This issue has been patched in version 3.57.0.

🤖 ملخص AI

Alist versions prior to 3.57.0 disable TLS certificate verification by default for storage driver communications, enabling Man-in-the-Middle attacks. Attackers can intercept, decrypt, and manipulate all data transmitted during storage operations, compromising data confidentiality and integrity.

📄 الوصف (العربية)

يعطل Alist التحقق من شهادات TLS افتراضياً لجميع اتصالات برنامج التشغيل للتخزين، مما يسمح بهجمات الوسيط (MitM). يمكن للمهاجمين اعتراض وفك تشفير ومعالجة جميع البيانات المرسلة أثناء عمليات التخزين. تم إصلاح هذه المشكلة في الإصدار 3.57.0.

🤖 ملخص تنفيذي (AI)

إصدارات Alist السابقة للإصدار 3.57.0 تعطل التحقق من شهادات TLS افتراضياً لاتصالات برنامج التشغيل للتخزين، مما يمكّن هجمات الوسيط. يمكن للمهاجمين اعتراض وفك تشفير ومعالجة جميع البيانات المرسلة أثناء عمليات التخزين.

🤖 التحليل الذكي آخر تحليل: Apr 13, 2026 01:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1557.002 T1040 T1041

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Alist to version 3.57.0 or later. Verify TLS certificate verification is enabled for all storage driver communications. Conduct a security audit of all storage connections and implement network segmentation to isolate storage traffic. Monitor for suspicious network activity and data exfiltration attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية Alist فوراً إلى الإصدار 3.57.0 أو أحدث. تحقق من تفعيل التحقق من شهادات TLS لجميع اتصالات برنامج التشغيل للتخزين. أجرِ تدقيقاً أمنياً لجميع اتصالات التخزين وطبّق تقسيم الشبكة لعزل حركة التخزين. راقب النشاط الشبكي المريب ومحاولات سرقة البيانات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.4.1 A.8.2.3 A.10.1.1

🔵 SAMA CSF

ID.BE-1 PR.DS-2 PR.DS-6

🟡 ISO 27001:2022

A.10.1.1 A.13.1.1 A.13.1.3

🔗 المراجع والمصادر 2

🔗

https://github.com/AlistGo/alist/commit/69629ca76a8f2c8c973ede3b616f93aa26ff23fb

security-advisories@github.com

Patch

🔗

https://github.com/AlistGo/alist/security/advisories/GHSA-8jmm-3xwx-w974

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

alistgo:alist

📊 CVSS Score

9.1

/ 10.0 — حرج

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.1

CWECWE-295

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-04

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available patch-available CWE-295

🏢 توجيهات البائع

🔗 https://github.com/AlistGo/alist/security/advisories...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-25160

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب