HIGHCVE-2025-58355CVSS 7.7

Soft Serve は github.com/charmbracelet/soft-serve の SSH API を介した任意のファイル書き込みの脆弱性があります

Q: CVE-2025-58355 — 任意ファイルアクセス in Soft Serveとは何ですか？

CVE-2025-58355は、github.com/charmbracelet/soft-serveのSSH APIを介した任意ファイル書き込みの脆弱性です。攻撃者はこの脆弱性を利用して、サーバー上の任意のファイルを書き換える可能性があります。

Q: CVE-2025-58355 in Soft Serveの影響はありますか？

github.com/charmbracelet/soft-serveを使用している場合、この脆弱性の影響を受ける可能性があります。特に、SSH APIへのアクセスが許可されている環境では注意が必要です。

Q: CVE-2025-58355 in Soft Serveを修正するにはどうすればよいですか？

github.com/charmbracelet/soft-serveをバージョン0.10.0にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-58355は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、将来的に悪用される可能性は否定できません。

Q: CVE-2025-58355に関する公式のSoft Serveのアドバイザリはどこで入手できますか？

github.com/charmbracelet/soft-serveの公式リポジトリまたは関連するセキュリティアナウンスメントをご確認ください。

プラットフォーム

コンポーネント

github.com/charmbracelet/soft-serve

修正版

0.10.1

0.10.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-58355は、github.com/charmbracelet/soft-serveにおいて、SSH APIを介した任意ファイル書き込みの脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを書き換えることが可能となり、システムへの深刻な影響を引き起こす可能性があります。影響を受けるバージョンは現時点では特定されていませんが、バージョン0.10.0でこの問題が修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSSH APIを利用してサーバー上の任意の場所にファイルを書き込むことを可能にします。これにより、機密情報の窃取、マルウェアのインストール、システム設定の改ざんなど、広範な攻撃につながる可能性があります。特に、Soft Serveが重要なシステムコンポーネントとして利用されている場合、その影響は甚大となる可能性があります。攻撃者は、書き込んだファイルを利用して、権限昇格や、他のシステムへの横展開を試みる可能性があります。この脆弱性は、類似のSSH関連の脆弱性と同様に、慎重な対応が必要です。

悪用の状況

CVE-2025-58355は、2025年9月8日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、SSH APIの脆弱性は悪用事例が多く、将来的に悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性の深刻度を評価し、適切な対策を講じることが重要です。

リスク対象者翻訳中…

Organizations using Soft Serve as an SSH server, particularly those with exposed SSH APIs or limited access controls, are at risk. Development teams relying on Soft Serve within their Go applications should also prioritize patching. Shared hosting environments utilizing Soft Serve are particularly vulnerable due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• go / server:

find / -name "soft_serve" -type d -print0 | xargs -0 grep -i "ssh api file write"

• generic web:

curl -I http://<server_ip>/ssh_api_endpoint

Inspect the response headers for any unusual configurations or exposed file paths.

攻撃タイムライン

2025-09-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/charmbracelet/soft-serve

ベンダーosv

影響範囲修正版

< 0.10.0 – < 0.10.00.10.1

—0.10.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-08-29
公開日2025-09-08
更新日2026-03-03
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずgithub.com/charmbracelet/soft-serveをバージョン0.10.0にアップデートすることを推奨します。アップデートが困難な場合は、SSH APIへのアクセスを制限するファイアウォールルールや、アクセス制御リスト（ACL）の設定を検討してください。また、SSHの設定を強化し、不要な機能を無効化することも有効です。アップデート後、システムログを監視し、異常なファイルアクセスがないか確認することで、攻撃の兆候を早期に発見できます。

修正方法翻訳中…

Actualice soft-serve a la versión 0.10.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de escritura arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la versión anterior.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-58355 — 任意ファイルアクセス in Soft Serveとは何ですか？