Vulnerabilidad en OpenListTeam (CVE-2026-25060)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

02/02/2026

Última modificación:

23/02/2026

Descripción

OpenList Frontend es un componente de interfaz de usuario para OpenList. Antes de la versión 4.1.10, la verificación de certificados está deshabilitada por defecto para todas las comunicaciones del controlador de almacenamiento. La configuración TlsInsecureSkipVerify está establecida en true por defecto en la función DefaultConfig() en internal/conf/config.go. Esta vulnerabilidad permite ataques de man-in-the-middle (MitM) al deshabilitar la verificación de certificados TLS, lo que permite a los atacantes interceptar y manipular todas las comunicaciones de almacenamiento. Los atacantes pueden explotar esto a través de ataques a nivel de red como suplantación de ARP, puntos de acceso Wi-Fi no autorizados o equipos de red internos comprometidos para redirigir el tráfico a puntos finales maliciosos. Dado que la validación de certificados se omite, el sistema establecerá conexiones cifradas sin saberlo con servidores controlados por el atacante, lo que permite el descifrado completo, el robo de datos y la manipulación de todas las operaciones de almacenamiento sin activar ninguna advertencia de seguridad. Esta vulnerabilidad se corrige en la versión 4.1.10.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto