Plataforma
go
Componente
github.com/charmbracelet/soft-serve
Corregido en
0.11.2
0.11.1
La vulnerabilidad CVE-2025-64522 es una falla de SSRF (Server-Side Request Forgery) descubierta en la biblioteca soft-serve, desarrollada por charmbracelet. Esta falla permite a atacantes realizar solicitudes a través del servidor, potencialmente accediendo a recursos internos que no deberían ser accesibles desde el exterior. Afecta a versiones anteriores a la 0.11.1 y la solución recomendada es actualizar a la versión 0.11.1 o superior.
Un atacante que explote esta vulnerabilidad puede realizar solicitudes HTTP arbitrarias a través del servidor soft-serve. Esto permite el acceso a recursos internos, como archivos de configuración, bases de datos o incluso otros servicios en la red interna. La exposición de estos recursos puede resultar en la filtración de datos sensibles, la modificación de la configuración del sistema o incluso el control completo del servidor. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial de daño significativo que puede causar. Aunque no se han reportado casos de explotación pública, la naturaleza de SSRF la convierte en un objetivo atractivo para atacantes.
La vulnerabilidad CVE-2025-64522 fue publicada el 17 de noviembre de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción, pero la alta puntuación CVSS sugiere un riesgo significativo. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de SSRF hace que sea probable que se desarrollen en el futuro. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
Organizations utilizing Soft Serve Webhooks in their CI/CD pipelines or other automated workflows are at risk. Specifically, deployments where Webhooks interact with internal APIs or cloud metadata services are particularly vulnerable. Shared hosting environments where Soft Serve is installed alongside other applications should also be considered at higher risk.
• go: Inspect Soft Serve configuration files for webhook URLs containing suspicious or unexpected domains.
grep -r 'webhook_url' /etc/soft-serve/*• generic web: Monitor access logs for unusual outbound requests originating from the Soft Serve instance. Look for requests to internal IP addresses or unexpected external domains.
curl -v <soft_serve_instance_url>/webhooks | grep -i 'Host:'• generic web: Check for exposed webhook endpoints that could be exploited.
curl -I <soft_serve_instance_url>/webhooksdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-64522 es actualizar la biblioteca soft-serve a la versión 0.11.1 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso de red desde donde se ejecuta soft-serve. Esto puede lograrse mediante reglas de firewall o proxies que bloqueen el acceso a recursos internos no autorizados. Además, se debe revisar la configuración de soft-serve para asegurarse de que no haya ninguna configuración que pueda facilitar la explotación de la vulnerabilidad. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes a recursos internos son bloqueadas o redirigidas correctamente.
Actualice soft-serve a la versión 0.11.1 o superior. Esta versión corrige la vulnerabilidad SSRF al validar correctamente las URLs de los webhooks. La actualización evitará que atacantes puedan acceder a servicios internos o endpoints privados a través de webhooks maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64522 is a critical SSRF vulnerability affecting Soft Serve Webhooks versions 0.11.0 and below, allowing attackers to initiate unauthorized requests.
If you are using Soft Serve Webhooks version 0.11.0 or earlier, you are potentially affected by this SSRF vulnerability.
Upgrade Soft Serve Webhooks to version 0.11.1 or later to resolve the SSRF vulnerability. Implement input validation and restrict network access as temporary workarounds.
There are currently no known public exploits or active campaigns targeting CVE-2025-64522, but the SSRF nature suggests a potential risk.
Refer to the official Soft Serve project repository and release notes for the advisory and detailed mitigation instructions.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.