Platform
go
Component
github.com/charmbracelet/soft-serve
Opgelost in
0.6.1
0.11.4
CVE-2026-30832 beschrijft een kritieke Server-Side Request Forgery (SSRF) kwetsbaarheid in soft-serve, een Go-bibliotheek ontwikkeld door charmbracelet. Deze kwetsbaarheid ontstaat door een ongeldige validatie van de LFS (Large File Storage) endpoint tijdens het importeren van repositories. Een succesvolle exploitatie kan een aanvaller in staat stellen om interne systemen en bronnen te benaderen die anders niet toegankelijk zouden zijn. De kwetsbaarheid beïnvloedt versies van soft-serve die ouder zijn dan 0.11.4. Een upgrade naar de meest recente versie is de aanbevolen oplossing.
De SSRF-kwetsbaarheid in soft-serve stelt een aanvaller in staat om verzoeken te sturen vanaf de server alsof ze afkomstig zijn van de applicatie zelf. Dit kan leiden tot het blootleggen van interne services, databases en andere gevoelige informatie die zich achter de firewall bevinden. Een aanvaller kan bijvoorbeeld interne API's aanroepen, cloud metadata ophalen (bijvoorbeeld AWS metadata service), of zelfs verbinding maken met interne databases. De impact is aanzienlijk, omdat de aanvaller potentieel volledige controle kan krijgen over de systemen die door soft-serve worden bediend. Dit is vergelijkbaar met SSRF-aanvallen die in andere contexten zijn waargenomen, waarbij interne bronnen worden blootgesteld door middel van ongeldige validatie van URL's.
CVE-2026-30832 is openbaar bekend gemaakt op 2026-03-10. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes of publieke proof-of-concept exploits. De CVSS-score is 9.1 (CRITICAL), wat duidt op een hoog risico. Het is waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, vooral omdat het een relatief eenvoudige exploitatiepad biedt.
Applications built using the soft-serve Go library for repository management, particularly those handling external repository imports, are at risk. This includes CI/CD pipelines, build systems, and any application that leverages soft-serve to import and process Git repositories.
• go / server:
find /path/to/your/go/project -name "soft-serve.go" -print0 | xargs grep -l "LFS endpoint"• generic web:
curl -I <your_application_url>/repo_import | grep -i "lfs"disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-30832 is het upgraden van soft-serve naar versie 0.11.4 of hoger. Deze versie bevat de benodigde correcties om de SSRF-kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan om een Web Application Firewall (WAF) te implementeren die verzoeken naar de LFS-endpoint blokkeert of beperkt. Configureer uw WAF om verzoeken met ongeldige of verdachte URL's te filteren. Daarnaast is het raadzaam om de toegang tot de soft-serve-applicatie te beperken tot geautoriseerde gebruikers en systemen. Na de upgrade, verifieer de correctie door een poging te wagen om een verzoek naar een interne bron te sturen via de LFS-endpoint; dit zou nu moeten worden geblokkeerd.
Werk Soft Serve bij naar versie 0.11.4 of hoger. Deze versie corrigeert de SSRF-kwetsbaarheid door de LFS endpoint correct te valideren tijdens de import van repositories.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-30832 is a critical SSRF vulnerability in the soft-serve Go library, allowing attackers to potentially access internal resources through manipulated repository imports.
If you are using soft-serve version 0.11.3 or earlier, you are vulnerable. Check your project dependencies to determine if you are using the library.
Upgrade to version 0.11.4 or later of the soft-serve library. If immediate upgrade is not possible, implement input validation on the LFS endpoint.
As of now, there are no known public exploits or active campaigns targeting this vulnerability, but the SSRF nature warrants immediate attention.
Refer to the charmbracelet project's repository and release notes for the official advisory and details about the fix: [https://github.com/charmbracelet/soft-serve](https://github.com/charmbracelet/soft-serve)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.