nvd,anchore_overrides
Oplist
Уязвимости
3
Эксплуатируемые
0
Критический
0
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2026-25059OpenList Frontend является компонентом пользовательского интерфейса для OpenList. До 4.1.10 приложение содержит уязвимость прохождения пути в нескольких обработчиках работы файлов в server/handles/fsmanage.go. Компоненты Filenames в req.Names напрямую конкатенируются с проверенными каталогами с использованием stdpath.Join. Это позволяет «.".." последовательно обходить ограничения пути, позволяя пользователям получать доступ к файлам других пользователей в пределах одного и того же крепления хранилища и выполнять несанкционированные действия, такие как удаление, переименование или копирование файлов. Аутентифицированный злоумышленник может обойти авторизацию на уровне каталога, введя последовательности прохождения в компоненты имен файлов, что позволяет несанкционированное удаление файлов и копирование через границы пользователя в пределах одного и того же крепления хранилища. Эта уязвимость зафиксирована в 4.1.10.
CVE-2026-25060OpenList Frontend - это компонент пользовательского интерфейса для OpenList. До 4.1.10 проверка сертификата отключена по умолчанию для всех сообщений драйверов хранения. Настройка TlsInsecureSkipVerify по умолчанию соответствует действительности в функции DefaultConfig() in in inter/config.go. Эта уязвимость позволяет атаковать Man-in-the-Middle (MitM), отключив проверку сертификата TLS, позволяя злоумышленникам перехватывать и манипулировать всеми сообщениями о хранилищах. Злоумышленники могут использовать это с помощью атак на уровне сети, таких как спуфинг ARP, мошеннические точки доступа Wi-Fi или скомпрометированное внутреннее сетевое оборудование для перенаправления трафика на вредоносные конечные точки. Поскольку проверка сертификата пропущена, система неосознанно установит зашифрованные соединения с серверами, контролируемыми злоумышленником, обеспечивая полную расшифровку, кражу данных и манипулирование всеми операциями хранения без запуска каких-либо предупреждений о безопасности. Эта уязвимость зафиксирована в пункте 4.1.10.
CVE-2025-50183OpenList Frontend является компонентом пользовательского интерфейса для OpenList. До версии 4.0.0-rc.4 в функции предварительного просмотра/просмотра файла приложения существует уязвимость, где файлы с расширением .py, содержащим код JavaScript, завернутый в теги <script>, могут интерпретироваться и исполняться как HTML в определенных режимах. Это приводит к сохраненной уязвимости XSS. Эта проблема была исправлена в версии 4.0.0-rc.4.