प्लेटफ़ॉर्म
go
घटक
github.com/charmbracelet/soft-serve
में ठीक किया गया
0.10.1
0.10.0
CVE-2025-58355 सॉफ्ट सर्व में एक अनधिकृत फ़ाइल एक्सेस भेद्यता है, जो github.com/charmbracelet/soft-serve द्वारा प्रदान की जाती है। यह भेद्यता हमलावरों को SSH API के माध्यम से मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। प्रभावित संस्करण 0.10.0 से पहले के सभी संस्करण हैं। इस समस्या को 0.10.0 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावरों के लिए गंभीर जोखिम पैदा करती है। एक हमलावर SSH API का फायदा उठाकर मनमाने ढंग से फ़ाइलें लिख सकता है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। वे संवेदनशील डेटा चुरा सकते हैं, दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं, या सिस्टम को पूरी तरह से निष्क्रिय कर सकते हैं। इस भेद्यता का उपयोग सिस्टम के अन्य हिस्सों में आगे बढ़ने के लिए भी किया जा सकता है, जिससे व्यापक क्षति हो सकती है। चूंकि यह SSH API से संबंधित है, इसलिए इसका शोषण नेटवर्क से दूरस्थ रूप से भी किया जा सकता है, जिससे यह विशेष रूप से खतरनाक हो जाता है।
यह भेद्यता अभी सार्वजनिक रूप से सक्रिय रूप से शोषण नहीं की जा रही है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण करने के लिए PoC जल्द ही सामने आ सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है। यह भेद्यता 2025-09-08 को प्रकाशित हुई थी।
Organizations using Soft Serve as an SSH server, particularly those with exposed SSH APIs or limited access controls, are at risk. Development teams relying on Soft Serve within their Go applications should also prioritize patching. Shared hosting environments utilizing Soft Serve are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / server:
find / -name "soft_serve" -type d -print0 | xargs -0 grep -i "ssh api file write"• generic web:
curl -I http://<server_ip>/ssh_api_endpointInspect the response headers for any unusual configurations or exposed file paths.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-58355 के प्रभाव को कम करने के लिए, तुरंत सॉफ्ट सर्व को संस्करण 0.10.0 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो SSH API तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों का उपयोग करें। SSH कॉन्फ़िगरेशन को सख्त करें और केवल आवश्यक उपयोगकर्ताओं को ही पहुंच प्रदान करें। नियमित रूप से सिस्टम लॉग की निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। यदि संभव हो, तो SSH API के उपयोग को पूरी तरह से अक्षम करने पर विचार करें यदि इसकी आवश्यकता नहीं है।
Actualice soft-serve a la versión 0.10.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de escritura arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la versión anterior.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-58355 सॉफ्ट सर्व में एक भेद्यता है जो हमलावरों को SSH API के माध्यम से मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है।
यदि आप सॉफ्ट सर्व के संस्करण 0.10.0 से पहले किसी भी संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-58355 को ठीक करने के लिए, सॉफ्ट सर्व को संस्करण 0.10.0 या बाद के संस्करण में अपग्रेड करें।
वर्तमान में, CVE-2025-58355 सक्रिय रूप से शोषण नहीं किया जा रहा है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
सॉफ्ट सर्व के लिए आधिकारिक सलाहकार github.com/charmbracelet/soft-serve पर उपलब्ध है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।