Plataforma
go
Componente
github.com/charmbracelet/soft-serve
Corregido en
0.10.1
0.10.0
CVE-2025-58355 describe una vulnerabilidad de Acceso Arbitrario a Archivos en Soft Serve, una biblioteca Go para servir archivos. Esta vulnerabilidad permite a un atacante escribir archivos arbitrarios en el sistema a través de la API SSH, lo que podría resultar en la modificación de archivos críticos o la ejecución de código malicioso. La vulnerabilidad afecta a versiones anteriores a 0.10.0 y se recomienda actualizar a la versión corregida.
La vulnerabilidad de Acceso Arbitrario a Archivos en Soft Serve representa un riesgo significativo para la seguridad. Un atacante que explote esta vulnerabilidad puede escribir archivos en ubicaciones arbitrarias dentro del sistema, lo que le permite modificar archivos de configuración, insertar código malicioso o incluso tomar el control completo del sistema. La API SSH, si no está debidamente protegida, se convierte en un punto de entrada para la ejecución remota de código. La falta de validación adecuada de las rutas de archivo permite a los atacantes eludir las restricciones de seguridad y acceder a recursos sensibles.
La vulnerabilidad CVE-2025-58355 fue publicada el 8 de septiembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Acceso Arbitrario a Archivos) la convierte en un objetivo atractivo para los atacantes. La falta de un PoC público no disminuye el riesgo, ya que la complejidad de la explotación puede ser relativamente baja. Se recomienda monitorear activamente los sistemas que utilizan Soft Serve.
Organizations using Soft Serve as an SSH server, particularly those with exposed SSH APIs or limited access controls, are at risk. Development teams relying on Soft Serve within their Go applications should also prioritize patching. Shared hosting environments utilizing Soft Serve are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / server:
find / -name "soft_serve" -type d -print0 | xargs -0 grep -i "ssh api file write"• generic web:
curl -I http://<server_ip>/ssh_api_endpointInspect the response headers for any unusual configurations or exposed file paths.
disclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-58355 es actualizar a la versión 0.10.0 de Soft Serve, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a la API SSH solo a usuarios autorizados y monitorear la actividad de la API en busca de patrones sospechosos. Implementar una WAF (Web Application Firewall) que filtre solicitudes maliciosas a la API SSH también puede ayudar a mitigar el riesgo. Revise los permisos de los archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso de escritura.
Actualice soft-serve a la versión 0.10.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de escritura arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la versión anterior.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58355 is a vulnerability in Soft Serve allowing attackers to write arbitrary files via the SSH API, potentially leading to code execution. It affects versions before 0.10.0.
You are affected if you are using Soft Serve versions prior to 0.10.0. Check your installed version and upgrade immediately if vulnerable.
Upgrade to version 0.10.0 or later of Soft Serve. Restrict SSH API access and implement file access controls as temporary mitigations.
As of the last update, there is no confirmed active exploitation of CVE-2025-58355 in the wild, but public PoCs may emerge.
Refer to the official Soft Serve GitHub repository and related security announcements for the latest advisory information: https://github.com/charmbracelet/soft-serve
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.