प्लेटफ़ॉर्म
go
घटक
github.com/harness/gitness
में ठीक किया गया
3.3.1
3.3.0
1.0.4-gitspaces-beta.0.20250808064055-21c5ce42ae13
CVE-2025-58158 Harness के Gitness LFS सर्वर में एक मनमाना फ़ाइल लेखन भेद्यता है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से डेटा हानि, सिस्टम समझौता या अन्य हानिकारक परिणाम हो सकते हैं। यह भेद्यता Gitness LFS के सभी संस्करणों को प्रभावित करती है। संस्करण 1.0.4-gitspaces-beta.0.20250808064055-21c5ce42ae13 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Gitness LFS सर्वर पर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। इसका मतलब है कि वे महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट कर सकते हैं, दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, या संवेदनशील डेटा चुरा सकते हैं। एक सफल हमलावर सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकता है, जिससे डेटा हानि, सिस्टम समझौता और अन्य हानिकारक परिणाम हो सकते हैं। इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है यदि Gitness LFS सर्वर का उपयोग अन्य प्रणालियों के साथ संचार के लिए किया जाता है। इस भेद्यता का दायरा काफी बड़ा हो सकता है, क्योंकि यह सर्वर के सभी उपयोगकर्ताओं को प्रभावित कर सकता है।
CVE-2025-58158 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि जल्द ही PoC जारी किए जाएंगे। यह भेद्यता 2025-09-17 को प्रकाशित हुई थी।
Organizations using Harness Gitness for Git repository management are at risk, particularly those running older, unpatched versions. Shared hosting environments where multiple users have access to the Gitness instance are especially vulnerable, as a compromised user account could be used to exploit this vulnerability.
• go / server: Monitor Gitness logs for unusual file creation events, especially in unexpected directories. Use journalctl -u gittess to filter for file access logs.
• generic web: Check for unexpected files appearing in the Gitness LFS storage directory. Use curl -I <gitness_url>/lfs/ to check for directory listing exposure (disable if present).
• generic web: Review access logs for requests attempting to write files to unusual locations. Use grep -i 'PUT /lfs/' /var/log/apache2/access.log (adjust path as needed).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (27% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-58158 को कम करने के लिए, Gitness LFS सर्वर को संस्करण 1.0.4-gitspaces-beta.0.20250808064055-21c5ce42ae13 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो फ़ाइल लेखन तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों या अन्य सुरक्षा उपायों को लागू किया जा सकता है। इसके अतिरिक्त, Gitness LFS सर्वर पर सभी फ़ाइलों की नियमित रूप से निगरानी की जानी चाहिए ताकि किसी भी अनधिकृत फ़ाइल लेखन का पता लगाया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, Gitness LFS सर्वर पर किसी भी नई फ़ाइल को देखकर जो अनपेक्षित रूप से बनाई गई हैं।
Actualice Harness a la versión 3.3.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de escritura arbitraria de archivos en el servidor Gitness LFS. La actualización evitará que usuarios maliciosos escriban archivos en ubicaciones no autorizadas del sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-58158 Harness के Gitness LFS सर्वर में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे डेटा हानि या सिस्टम समझौता हो सकता है।
यदि आप Gitness LFS के संस्करण 1.0.4-gitspaces-beta.0.20250808064055-21c5ce42ae13 से पहले किसी भी संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-58158 को ठीक करने के लिए, Gitness LFS सर्वर को संस्करण 1.0.4-gitspaces-beta.0.20250808064055-21c5ce42ae13 में अपग्रेड करें।
CVE-2025-58158 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है कि जल्द ही शोषण दिखाई देंगे।
आप Harness सलाहकार को यहां पा सकते हैं: [Harness advisory URL - replace with actual URL]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।