Plateforme
go
Composant
github.com/charmbracelet/soft-serve
Corrigé dans
0.6.1
0.11.4
La vulnérabilité CVE-2026-30832 est une faille de SSRF (Server-Side Request Forgery) découverte dans la bibliothèque soft-serve développée par charmbracelet. Cette faille permet à un attaquant d'exploiter l'importation de dépôt LFS (Large File Storage) pour effectuer des requêtes vers des ressources internes non destinées à être accessibles depuis l'extérieur. Les versions de soft-serve antérieures à 0.11.4 sont affectées. Une mise à jour vers la version 0.11.4 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles d'accès et d'effectuer des requêtes vers des services internes qui seraient normalement inaccessibles. Cela peut conduire à la divulgation d'informations sensibles, à la modification de données ou même à la prise de contrôle de systèmes internes. L'attaquant pourrait, par exemple, interroger des métriques de performance internes, accéder à des fichiers de configuration contenant des mots de passe ou des clés API, ou même tenter d'exploiter d'autres vulnérabilités dans des services internes. Le rayon d'impact est potentiellement élevé, car l'attaquant peut utiliser soft-serve comme point d'entrée pour explorer et compromettre l'ensemble du réseau interne.
La vulnérabilité CVE-2026-30832 a été publiée le 10 mars 2026. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'accéder à un environnement où soft-serve est utilisé pour l'importation de dépôt LFS. Des preuves de concept publiques (PoC) sont susceptibles d'émerger rapidement après la publication de la vulnérabilité.
Applications built using the soft-serve Go library for repository management, particularly those handling external repository imports, are at risk. This includes CI/CD pipelines, build systems, and any application that leverages soft-serve to import and process Git repositories.
• go / server:
find /path/to/your/go/project -name "soft-serve.go" -print0 | xargs grep -l "LFS endpoint"• generic web:
curl -I <your_application_url>/repo_import | grep -i "lfs"disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque soft-serve vers la version 0.11.4 ou supérieure, qui corrige la vulnérabilité SSRF. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'importation de dépôt LFS ou de mettre en place des règles de pare-feu pour restreindre les requêtes sortantes de soft-serve aux domaines autorisés. L'utilisation d'un proxy inverse avec des règles de validation des requêtes peut également aider à atténuer le risque. Après la mise à jour, vérifiez que l'importation de dépôt LFS fonctionne correctement et que les requêtes sortantes sont correctement restreintes.
Mettez à jour Soft Serve à la version 0.11.4 ou supérieure. Cette version corrige la vulnérabilité SSRF en validant correctement l'endpoint LFS pendant l'importation de dépôts.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30832 is a critical SSRF vulnerability in the soft-serve Go library, allowing attackers to potentially access internal resources through manipulated repository imports.
If you are using soft-serve version 0.11.3 or earlier, you are vulnerable. Check your project dependencies to determine if you are using the library.
Upgrade to version 0.11.4 or later of the soft-serve library. If immediate upgrade is not possible, implement input validation on the LFS endpoint.
As of now, there are no known public exploits or active campaigns targeting this vulnerability, but the SSRF nature warrants immediate attention.
Refer to the charmbracelet project's repository and release notes for the official advisory and details about the fix: [https://github.com/charmbracelet/soft-serve](https://github.com/charmbracelet/soft-serve)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.