Platform
go
Component
github.com/charmbracelet/soft-serve
Opgelost in
0.10.1
0.10.0
CVE-2025-58355 beschrijft een Arbitrary File Access kwetsbaarheid in soft-serve, een Go-gebaseerde tool ontwikkeld door charmbracelet. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te schrijven via de SSH API. De kwetsbaarheid treft versies van soft-serve die ouder zijn dan 0.10.0. Een update naar versie 0.10.0 of hoger is beschikbaar om dit probleem te verhelpen.
Deze kwetsbaarheid is kritiek omdat een succesvolle exploitatie kan leiden tot volledige controle over het getroffen systeem. Een aanvaller kan willekeurige bestanden schrijven, inclusief systeemconfiguratiebestanden, executable bestanden of gevoelige data. Dit kan resulteren in dataverlies, compromittering van de server en verdere toegang tot het netwerk. De mogelijkheid om willekeurige bestanden te schrijven, opent de deur naar het uitvoeren van willekeurige code en het verkrijgen van root-toegang. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot een ongeautoriseerde schrijfrechten op kritieke systeembestanden.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2025-09-08. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze kwetsbaarheid uitbuiten. De KEV-status is momenteel onbekend. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven.
Organizations using Soft Serve as an SSH server, particularly those with exposed SSH APIs or limited access controls, are at risk. Development teams relying on Soft Serve within their Go applications should also prioritize patching. Shared hosting environments utilizing Soft Serve are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / server:
find / -name "soft_serve" -type d -print0 | xargs -0 grep -i "ssh api file write"• generic web:
curl -I http://<server_ip>/ssh_api_endpointInspect the response headers for any unusual configurations or exposed file paths.
disclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.10.0 of hoger van soft-serve. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot de SSH API. Implementeer strikte toegangscontroles en authenticatie mechanismen om ongeautoriseerde toegang te voorkomen. Monitor de SSH-logboeken op verdachte activiteiten, zoals ongebruikelijke bestandsaanvragen of pogingen om gevoelige bestanden te wijzigen. Het is belangrijk om te verifiëren dat de upgrade succesvol is door te controleren of de SSH API geen ongeautoriseerde bestandsschrijfbewerkingen meer toestaat.
Actualice soft-serve a la versión 0.10.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de escritura arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la versión anterior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-58355 is a vulnerability in Soft Serve allowing attackers to write arbitrary files via the SSH API, potentially leading to code execution. It affects versions before 0.10.0.
You are affected if you are using Soft Serve versions prior to 0.10.0. Check your installed version and upgrade immediately if vulnerable.
Upgrade to version 0.10.0 or later of Soft Serve. Restrict SSH API access and implement file access controls as temporary mitigations.
As of the last update, there is no confirmed active exploitation of CVE-2025-58355 in the wild, but public PoCs may emerge.
Refer to the official Soft Serve GitHub repository and related security announcements for the latest advisory information: https://github.com/charmbracelet/soft-serve
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.