Plataforma
go
Componente
github.com/charmbracelet/soft-serve
Corregido en
0.6.1
0.11.4
La vulnerabilidad CVE-2026-30832 es una falla de SSRF (Server-Side Request Forgery) que afecta a la biblioteca soft-serve desarrollada por charmbracelet. Esta falla permite a un atacante realizar solicitudes a recursos internos del servidor, potencialmente exponiendo información sensible. La vulnerabilidad se encuentra presente en las versiones 0.11.0 a 0.11.3 de soft-serve. Se recomienda actualizar a la versión 0.11.4 para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede realizar solicitudes a cualquier URL accesible desde el servidor donde se ejecuta soft-serve. Esto incluye la posibilidad de leer archivos internos, acceder a servicios internos sin autenticación y, en algunos casos, ejecutar comandos en el servidor. El alcance del impacto depende de la configuración del servidor y los permisos del usuario que ejecuta soft-serve. La capacidad de leer archivos internos podría revelar credenciales, claves API u otra información confidencial. La falla se origina en la importación de repositorios LFS (Large File Storage) donde no se valida correctamente la URL de destino, permitiendo al atacante manipularla para acceder a recursos no deseados.
La vulnerabilidad fue publicada el 2026-03-10. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de SSRF la convierte en un objetivo atractivo para atacantes. La vulnerabilidad se encuentra en una biblioteca de uso común, lo que aumenta su potencial de impacto. No se ha añadido a la lista KEV de CISA al momento de esta redacción. La disponibilidad de un PoC público podría acelerar su explotación.
Applications built using the soft-serve Go library for repository management, particularly those handling external repository imports, are at risk. This includes CI/CD pipelines, build systems, and any application that leverages soft-serve to import and process Git repositories.
• go / server:
find /path/to/your/go/project -name "soft-serve.go" -print0 | xargs grep -l "LFS endpoint"• generic web:
curl -I <your_application_url>/repo_import | grep -i "lfs"disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 0.11.4 de soft-serve, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una opción es configurar un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten acceder a recursos internos. Otra medida es validar rigurosamente la entrada proporcionada por el usuario, especialmente las URLs de los repositorios LFS. Implementar reglas de firewall para restringir el acceso a servicios internos desde el exterior también puede ayudar a reducir el riesgo. En entornos Go, se puede implementar una validación estricta de la URL antes de realizar la solicitud.
Actualice Soft Serve a la versión 0.11.4 o superior. Esta versión corrige la vulnerabilidad SSRF al validar correctamente el endpoint LFS durante la importación de repositorios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-30832 is a critical SSRF vulnerability in the soft-serve Go library, allowing attackers to potentially access internal resources through manipulated repository imports.
If you are using soft-serve version 0.11.3 or earlier, you are vulnerable. Check your project dependencies to determine if you are using the library.
Upgrade to version 0.11.4 or later of the soft-serve library. If immediate upgrade is not possible, implement input validation on the LFS endpoint.
As of now, there are no known public exploits or active campaigns targeting this vulnerability, but the SSRF nature warrants immediate attention.
Refer to the charmbracelet project's repository and release notes for the official advisory and details about the fix: [https://github.com/charmbracelet/soft-serve](https://github.com/charmbracelet/soft-serve)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.