soft-serve में अप्रमाणित LFS एंडपॉइंट के माध्यम से SSRF से भेद्यता, github.com/charmbracelet/soft-serve में रेपो इम्पोर्ट में।

यह SSRF भेद्यता हमलावरों को आंतरिक सेवाओं और डेटा तक पहुंचने की अनुमति दे सकती है जो सार्वजनिक रूप से उजागर नहीं हैं। एक हमलावर आंतरिक नेटवर्क को स्कैन करने, संवेदनशील डेटा को निकालने या अन्य आंतरिक प्रणालियों पर हमला करने के लिए इस भेद्यता का उपयोग कर सकता है। चूंकि soft-serve अक्सर Git रिपॉजिटरी को संभालने के लिए उपयोग किया जाता है, इसलिए यह भेद्यता रिपॉजिटरी में संग्रहीत संवेदनशील जानकारी को भी उजागर कर सकती है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह किसी भी प्रमाणीकरण की आवश्यकता के बिना शोषण किया जा सकता है, जिससे हमलावर के लिए आंतरिक संसाधनों तक पहुंच प्राप्त करना आसान हो जाता है।

Applications built using the soft-serve Go library for repository management, particularly those handling external repository imports, are at risk. This includes CI/CD pipelines, build systems, and any application that leverages soft-serve to import and process Git repositories.

• go / server:

find /path/to/your/go/project -name "soft-serve.go" -print0 | xargs grep -l "LFS endpoint"

• generic web:

curl -I <your_application_url>/repo_import | grep -i "lfs"

1. 2026-03-10Disclosure

   disclosure

1. आरक्षित2026-03-05
2. प्रकाशित2026-03-10
3. संशोधित2026-03-23
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, github.com/charmbracelet/soft-serve को 0.11.4 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, LFS एंडपॉइंट तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों या नेटवर्क नीतियों को लागू किया जा सकता है। इसके अतिरिक्त, सुनिश्चित करें कि soft-serve द्वारा संसाधित रिपॉजिटरी विश्वसनीय स्रोतों से हैं और उनमें दुर्भावनापूर्ण सामग्री नहीं है। किसी भी असामान्य नेटवर्क गतिविधि या अनधिकृत पहुंच प्रयासों की निगरानी के लिए सिस्टम लॉग की नियमित रूप से समीक्षा करें।