CVE-2026-25160 — 神龙十问 AI 深度分析摘要

🚨 **本质**：AList 默认**禁用 TLS 证书验证**，导致信任管理失效。 💥 **后果**：通信链路不加密，极易引发**中间人攻击 (MITM)** 和**敏感数据泄露**。

🔍 **CWE**：CWE-295 (Improper Certificate Validation)。 🔧 **缺陷点**：代码层面未强制校验服务端证书合法性，默认跳过验证步骤。

📦 **厂商**：AlistGo。 🏷️ **产品**：alist。 📅 **版本**：**AList 3.57.0 之前**的所有版本均受影响。

🕵️ **黑客能力**： 1. **窃听**：解密传输中的文件列表及元数据。 2. **篡改**：修改响应内容，注入恶意链接或数据。 3. **权限**：虽不直接提权，但可窃取登录凭证或会话信息。

📉 **门槛**：**极低**。 🔑 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络可达即可利用 (AV:N)。

🧪 **Exp/PoC**：当前数据源显示 **暂无** 公开 PoC 或确凿的在野利用报告。 ⚠️ **注意**：利用逻辑简单，存在被快速编写脚本的风险。

🔎 **自查方法**： 1. 检查配置文件或启动参数，确认是否显式开启了证书验证。 2. 使用 Wireshark 抓包，观察 HTTPS 握手阶段是否忽略证书错误。 3. 扫描工具检测 TLS 配置是否允许无效证书连接。

🛡️ **官方修复**：已发布安全公告 (GHSA-8jmm-3xwx-w974)。 🔨 **补丁**：通过 Commit `69629ca` 修复了信任管理逻辑，建议立即升级。

🚧 **临时规避**： 1. **升级**至 3.57.0 或更高版本。 2. 若无法升级，强制配置**有效的 SSL 证书**并启用严格验证模式。 3. 限制服务暴露范围，仅在内网可信环境使用。

🔥 **优先级**：**高**。 📊 **CVSS**：9.1 (Critical)。 💡 **建议**：鉴于 CVSS 评分极高且利用简单，建议**立即**安排升级或应用缓解措施。