プラットフォーム
go
コンポーネント
github.com/charmbracelet/soft-serve
修正版
0.6.1
0.11.4
CVE-2026-30832は、github.com/charmbracelet/soft-serveにおいて、リポジトリインポート時にLFSエンドポイントの検証が不十分なために発生するSSRF脆弱性です。この脆弱性を悪用されると、攻撃者は内部ネットワークリソースにアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンは特定されていませんが、バージョン0.11.4で修正されています。
このSSRF脆弱性は、攻撃者がsoft-serveを実行しているサーバーから内部ネットワークリソースにアクセスすることを可能にします。攻撃者は、内部サービスへの不正アクセス、機密データの窃取、さらにはサーバーの制御権の奪取を試みる可能性があります。特に、内部ネットワークが適切にセグメント化されていない場合、この脆弱性の影響は広範囲に及ぶ可能性があります。類似のSSRF脆弱性は、内部ネットワークへのアクセスを容易にし、攻撃対象領域を拡大させることで、重大なセキュリティインシデントを引き起こす可能性があります。
この脆弱性は2026年3月10日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後積極的に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。NVDデータベースも参照してください。
Applications built using the soft-serve Go library for repository management, particularly those handling external repository imports, are at risk. This includes CI/CD pipelines, build systems, and any application that leverages soft-serve to import and process Git repositories.
• go / server:
find /path/to/your/go/project -name "soft-serve.go" -print0 | xargs grep -l "LFS endpoint"• generic web:
curl -I <your_application_url>/repo_import | grep -i "lfs"disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
バージョン0.11.4へのアップデートが推奨されます。アップデートが直ちに実行できない場合は、LFSエンドポイントへのアクセスを制限するファイアウォールルールを実装するか、soft-serveの設定でLFS機能の利用を無効にすることを検討してください。また、リポジトリインポートの際に、信頼できないソースからのインポートを避けるように注意する必要があります。アップデート後、LFSエンドポイントへのアクセスを試みることで、脆弱性が修正されていることを確認してください。
Soft Serve をバージョン 0.11.4 以降にアップデートしてください。このバージョンでは、リポジトリインポート中に LFS エンドポイントを適切に検証することで SSRF の脆弱性を修正しています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-30832は、soft-serveにおいて、リポジトリインポート時の検証されていないLFSエンドポイントを介したSSRF脆弱性です。攻撃者はこの脆弱性を悪用して、内部ネットワークリソースにアクセスする可能性があります。
soft-serveを使用している場合は、影響を受ける可能性があります。バージョン0.11.4より前のバージョンを使用している場合は、アップデートを検討してください。
バージョン0.11.4にアップデートしてください。アップデートが難しい場合は、LFSエンドポイントへのアクセスを制限するファイアウォールルールを実装するか、LFS機能の利用を無効にしてください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後積極的に悪用される可能性があります。
github.com/charmbracelet/soft-serveの公式リポジトリまたは関連するセキュリティアナウンスメントを参照してください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。