Gratis scannen
HIGHCVE-2025-64178CVSS 7.5

Jellysweep gebruikt ongecontroleerde data in image cache API endpoint in github.com/jon4hz/jellysweep

Platform

go

Component

github.com/jon4hz/jellysweep

Opgelost in

0.13.1

0.13.0

AI Confidence: highNVDEPSS 0.1%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2025-64178 beschrijft een kwetsbaarheid in de image cache API endpoint van jellysweep, een Go-applicatie ontwikkeld door jon4hz. Deze kwetsbaarheid stelt aanvallers in staat om ongecontroleerde data te gebruiken, wat kan leiden tot data-exfiltratie en misbruik van de applicatie. De kwetsbaarheid beïnvloedt versies van jellysweep vóór 0.13.0. Een patch is beschikbaar in versie 0.13.0.

Go

Detecteer deze CVE in je project

Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.

go.mod uploaden

Impact en Aanvalsscenarios

De kwetsbaarheid in jellysweep maakt het mogelijk voor een aanvaller om ongecontroleerde data in de image cache API endpoint te injecteren. Dit kan leiden tot verschillende negatieve gevolgen. Een aanvaller kan gevoelige informatie uit de applicatie stelen, zoals gebruikersgegevens of configuratiebestanden. Bovendien kan de aanvaller de applicatie misbruiken om kwaadaardige code uit te voeren of andere systemen binnen het netwerk aan te vallen. De impact van deze kwetsbaarheid is aanzienlijk, omdat het de integriteit en vertrouwelijkheid van de applicatie en de daaraan gerelateerde data in gevaar brengt.

Uitbuitingscontext

Op het moment van publicatie (2025-11-17) is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-64178. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus met een nog te bepalen EPSS-score. Verdere monitoring is noodzakelijk om de exploitatiekans te beoordelen.

Wie Loopt Risicowordt vertaald…

Organizations that rely on jellysweep for image processing or caching are at risk. This includes developers and system administrators who manage jellysweep deployments. Environments where jellysweep is exposed to untrusted external networks are particularly vulnerable.

Detectiestappenwordt vertaald…

• go / server: Monitor application logs for unusual API requests related to image caching. Look for requests with excessively large payloads or unexpected data types.

journalctl -u jellysweep -f | grep "image cache API"

• generic web: Use curl to test the image cache API endpoint with various payloads, including very large files or malformed data, to observe any abnormal behavior or resource consumption.

curl -F "image=@large_file.jpg" http://<jellysweep_server>/image_cache_api

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO

EPSS

0.08% (23% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

Getroffen Software

Componentgithub.com/jon4hz/jellysweep
Leverancierosv
Getroffen bereikOpgelost in
< 0.13.0 – < 0.13.00.13.1
0.13.0

Zwakheidsclassificatie (CWE)

CWE-918

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2025-64178 is het upgraden van jellysweep naar versie 0.13.0 of hoger. Deze versie bevat de benodigde correcties om de kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan om de image cache API endpoint tijdelijk uit te schakelen of te beperken tot vertrouwde bronnen. Implementeer strenge inputvalidatie en sanitatie op alle data die naar de image cache API endpoint wordt gestuurd. Controleer regelmatig de applicatielogs op verdachte activiteiten.

Hoe te verhelpen

Werk Jellysweep bij naar versie 0.13.0 of hoger. Deze versie corrigeert de SSRF-vulnerabiliteit door URLs die gebruikt worden om afbeeldingen te downloaden correct te valideren. De update voorkomt dat geauthenticeerde gebruikers willekeurige content van de server kunnen downloaden.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2025-64178 — Uncontrolled Data in jellysweep?

CVE-2025-64178 is een kwetsbaarheid in de image cache API endpoint van jellysweep, waardoor ongecontroleerde data gebruikt kan worden. Dit kan leiden tot data-exfiltratie en misbruik van de applicatie.

Am I affected by CVE-2025-64178 in jellysweep?

Ja, als u een versie van jellysweep gebruikt vóór 0.13.0, bent u kwetsbaar voor deze kwetsbaarheid.

How do I fix CVE-2025-64178 in jellysweep?

Upgrade jellysweep naar versie 0.13.0 of hoger om deze kwetsbaarheid te verhelpen.

Is CVE-2025-64178 being actively exploited?

Op het moment van publicatie is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-64178.

Where can I find the official jellysweep advisory for CVE-2025-64178?

Raadpleeg de jellysweep repository op GitHub voor de officiële advisory en release notes: [https://github.com/jon4hz/jellysweep](https://github.com/jon4hz/jellysweep)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken