Plateforme
go
Composant
github.com/octo-sts/app
Corrigé dans
0.5.4
0.5.3
La vulnérabilité CVE-2025-52477 est une faille de type SSRF (Server-Side Request Forgery) découverte dans le projet github.com/octo-sts/app. Cette faille permet à un attaquant non authentifié d'abuser des champs présents dans les jetons OpenID Connect afin d'effectuer des requêtes arbitraires côté serveur. Elle affecte les versions antérieures à 0.5.3 et a été corrigée dans cette version.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les mécanismes de sécurité et d'effectuer des requêtes vers des ressources internes qui ne devraient pas être accessibles depuis l'extérieur. Cela peut conduire à la divulgation d'informations sensibles, à la modification de données ou même à la prise de contrôle de systèmes internes. L'attaquant peut potentiellement interagir avec d'autres services internes, élargissant ainsi la surface d'attaque et le potentiel de dommages. Bien que l'exploitation ne nécessite pas d'authentification, la complexité de la manipulation des jetons OpenID Connect pourrait limiter l'accès à des attaquants ayant une bonne connaissance des protocoles d'authentification.
La vulnérabilité CVE-2025-52477 a été rendue publique le 2025-07-28. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité de manipuler les jetons OpenID Connect. Aucun proof-of-concept public n'a été observé à ce jour, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable.
Organizations that rely on Octo STS for OpenID Connect token validation, particularly those with internal services accessible via HTTP or HTTPS, are at risk. This includes applications that integrate with identity providers and use Octo STS to verify user authentication. Environments with limited network segmentation or inadequate WAF protection are especially vulnerable.
• go: Inspect application code for instances where Octo STS is used to validate OpenID Connect tokens. Look for code that directly uses the token's claims to construct outbound URLs without proper validation.
• generic web: Monitor outbound network traffic from the application for requests to unexpected or internal IP addresses. Use tools like tcpdump or network intrusion detection systems (NIDS) to identify suspicious patterns.
• linux / server: Examine application logs for errors related to token validation or unexpected outbound requests. Use journalctl to filter for relevant log entries.
journalctl -u your_app_service -f | grep "Octo STS" | grep "URL"disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour github.com/octo-sts/app vers la version 0.5.3 ou ultérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de restreindre l'accès aux ressources internes et de mettre en œuvre une validation stricte des données reçues dans les jetons OpenID Connect. L'utilisation d'un proxy inverse avec des règles de filtrage peut également aider à bloquer les requêtes malveillantes. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais une surveillance attentive des requêtes sortantes est conseillée.
Mettez à jour Octo-STS à la version 0.5.3 ou supérieure. Cette version inclut des correctifs pour assainir l'entrée et rédiger le journal, atténuant la vulnérabilité SSRF. La mise à jour peut être effectuée en téléchargeant la nouvelle version et en remplaçant les fichiers existants.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-52477 est une vulnérabilité SSRF (Server-Side Request Forgery) dans l'application github.com/octo-sts/app, permettant à un attaquant d'effectuer des requêtes non autorisées via le serveur.
Oui, si vous utilisez une version de github.com/octo-sts/app antérieure à 0.5.3, vous êtes potentiellement affecté par cette vulnérabilité.
La solution est de mettre à jour github.com/octo-sts/app vers la version 0.5.3 ou ultérieure. En attendant, appliquez des mesures de protection temporaires comme la restriction d'accès aux ressources internes.
Bien qu'aucun exploit public n'ait été observé à ce jour, la nature de la vulnérabilité SSRF la rend potentiellement exploitable et nécessite une vigilance accrue.
Consultez le dépôt github.com/octo-sts/app pour les notes de version et les informations de sécurité relatives à cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.