CVE-2024-48747
- EPSS 0.45%
- Veröffentlicht 21.11.2024 15:15:32
- Zuletzt bearbeitet 26.11.2024 19:15:26
An issue in alist-tvbox v1.7.1 allows a remote attacker to execute arbitrary code via the /atv-cli file.
CVE-2024-47067
- EPSS 0.03%
- Veröffentlicht 30.09.2024 16:15:09
- Zuletzt bearbeitet 15.11.2024 16:28:48
AList is a file list program that supports multiple storages. AList contains a reflected cross-site scripting vulnerability in helper.go. The endpoint /i/:link_name takes in a user-provided value and reflects it back in the response. The endpoint ret...
CVE-2023-33498
- EPSS 0.11%
- Veröffentlicht 07.06.2023 14:15:09
- Zuletzt bearbeitet 07.01.2025 16:15:30
alist <=3.16.3 is vulnerable to Incorrect Access Control. Low privilege accounts can upload any file.
CVE-2023-31726
- EPSS 1.72%
- Veröffentlicht 23.05.2023 22:15:09
- Zuletzt bearbeitet 21.01.2025 19:15:10
AList 3.15.1 is vulnerable to Incorrect Access Control, which can be exploited by attackers to obtain sensitive information.
CVE-2022-45969
- EPSS 0.43%
- Veröffentlicht 15.12.2022 23:15:10
- Zuletzt bearbeitet 21.04.2025 15:15:55
Alist v3.4.0 is vulnerable to Directory Traversal,
CVE-2022-45968
- EPSS 0.18%
- Veröffentlicht 12.12.2022 14:15:10
- Zuletzt bearbeitet 22.04.2025 21:15:44
Alist v3.4.0 is vulnerable to File Upload. A user with only file upload permission can upload any file to any folder (even a password protected one).
CVE-2022-45970
- EPSS 0.12%
- Veröffentlicht 12.12.2022 14:15:10
- Zuletzt bearbeitet 22.04.2025 19:15:50
Alist v3.5.1 is vulnerable to Cross Site Scripting (XSS) via the bulletin board.
CVE-2022-26533
- EPSS 0.24%
- Veröffentlicht 12.03.2022 01:15:35
- Zuletzt bearbeitet 21.11.2024 06:54:07
Alist v2.1.0 and below was discovered to contain a cross-site scripting (XSS) vulnerability via /i/:data/ipa.plist.