Plateforme
go
Composant
github.com/jon4hz/jellysweep
Corrigé dans
0.13.1
0.13.0
La vulnérabilité CVE-2025-64178 est une faille de Server-Side Request Forgery (SSRF) présente dans jellysweep, un outil développé par github.com/jon4hz. Cette faille permet à un attaquant d'exploiter l'API de cache d'images de manière non contrôlée, ouvrant potentiellement la porte à l'accès à des ressources internes. Les versions antérieures à 0.13.0 sont affectées et une mise à jour vers cette version est recommandée.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de forcer le serveur jellysweep à effectuer des requêtes vers des ressources arbitraires, potentiellement internes à l'infrastructure. Cela pourrait inclure l'accès à des services non exposés publiquement, la lecture de fichiers sensibles, ou même l'exécution de commandes sur le serveur si des configurations incorrectes sont en place. Le risque est amplifié si jellysweep est déployé dans un environnement où il a accès à des données critiques ou à des services sensibles. Un attaquant pourrait, par exemple, scanner le réseau interne à la recherche de services vulnérables ou compromettre d'autres systèmes en utilisant jellysweep comme point de pivot.
La vulnérabilité CVE-2025-64178 a été rendue publique le 2025-11-17. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction avec l'API de cache d'images. Aucun Proof of Concept (PoC) public n'a été identifié à ce jour, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable par des acteurs malveillants disposant de compétences techniques.
Organizations that rely on jellysweep for image processing or caching are at risk. This includes developers and system administrators who manage jellysweep deployments. Environments where jellysweep is exposed to untrusted external networks are particularly vulnerable.
• go / server: Monitor application logs for unusual API requests related to image caching. Look for requests with excessively large payloads or unexpected data types.
journalctl -u jellysweep -f | grep "image cache API" • generic web: Use curl to test the image cache API endpoint with various payloads, including very large files or malformed data, to observe any abnormal behavior or resource consumption.
curl -F "image=@large_file.jpg" http://<jellysweep_server>/image_cache_apidisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
La mitigation principale consiste à mettre à jour jellysweep vers la version 0.13.0, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès à l'API de cache d'images en utilisant un pare-feu ou un proxy inverse. Configurez des règles de pare-feu pour bloquer les requêtes sortantes vers des adresses IP ou des domaines non autorisés. Envisagez également de désactiver temporairement l'API de cache d'images si elle n'est pas essentielle au fonctionnement de jellysweep. Après la mise à jour, vérifiez que l'API de cache d'images est correctement configurée et qu'elle ne permet pas d'accès non autorisé.
Mettez à jour Jellysweep à la version 0.13.0 ou supérieure. Cette version corrige la vulnérabilité de SSRF en validant correctement les URLs utilisées pour télécharger des images. La mise à jour empêchera les utilisateurs authentifiés de télécharger du contenu arbitraire depuis le serveur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-64178 est une vulnérabilité SSRF dans jellysweep, permettant à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources arbitraires.
Vous êtes affecté si vous utilisez une version de jellysweep antérieure à 0.13.0 et que l'API de cache d'images est accessible.
Mettez à jour jellysweep vers la version 0.13.0. Si la mise à jour n'est pas possible, restreignez l'accès à l'API de cache d'images.
À ce jour, il n'y a aucune indication d'exploitation active, mais la vulnérabilité est potentiellement exploitable.
Consultez le dépôt GitHub de jellysweep pour les informations officielles : github.com/jon4hz/jellysweep
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.