Plataforma
go
Componente
github.com/charmbracelet/soft-serve
Corrigido em
0.10.1
0.10.0
A vulnerabilidade CVE-2025-58355 representa um acesso arbitrário a arquivos em Soft Serve, uma biblioteca Go para servir arquivos estáticos. Essa falha permite que atacantes escrevam arquivos em locais arbitrários através da API SSH, comprometendo a integridade do sistema. Versões anteriores a 0.10.0 são afetadas. A correção foi disponibilizada na versão 0.10.0.
Um atacante explorando esta vulnerabilidade pode comprometer a integridade do sistema ao escrever arquivos em locais arbitrários. Isso pode incluir a substituição de arquivos de configuração críticos, a inserção de código malicioso ou a criação de portas traseiras para acesso futuro. O impacto potencial é significativo, pois permite o controle total sobre o servidor onde Soft Serve está sendo executado. A exploração bem-sucedida pode levar à exfiltração de dados sensíveis, interrupção do serviço e comprometimento da infraestrutura subjacente. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e o potencial impacto tornam esta vulnerabilidade uma prioridade para correção.
A vulnerabilidade foi divulgada em 2025-09-08. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A pontuação EPSS (Exploit Prediction Scoring System) provavelmente será classificada como média devido à disponibilidade de informações sobre a vulnerabilidade e sua relativa facilidade de exploração. Não há public proof-of-concept (PoC) amplamente divulgados, mas a descrição da vulnerabilidade sugere que a exploração é relativamente direta.
Organizations using Soft Serve as an SSH server, particularly those with exposed SSH APIs or limited access controls, are at risk. Development teams relying on Soft Serve within their Go applications should also prioritize patching. Shared hosting environments utilizing Soft Serve are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / server:
find / -name "soft_serve" -type d -print0 | xargs -0 grep -i "ssh api file write"• generic web:
curl -I http://<server_ip>/ssh_api_endpointInspect the response headers for any unusual configurations or exposed file paths.
disclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-58355 é atualizar para a versão 0.10.0 do Soft Serve, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar a API SSH ou restringir o acesso a ela apenas a usuários confiáveis. Implementar controles de acesso rigorosos e monitorar o sistema em busca de atividades suspeitas também pode ajudar a mitigar o risco. Além disso, revise as configurações de permissões de arquivos e diretórios para garantir que apenas os usuários autorizados tenham acesso de escrita. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de acesso não autorizado.
Actualice soft-serve a la versión 0.10.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de escritura arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la versión anterior.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-58355 is a vulnerability in Soft Serve allowing attackers to write arbitrary files via the SSH API, potentially leading to code execution. It affects versions before 0.10.0.
You are affected if you are using Soft Serve versions prior to 0.10.0. Check your installed version and upgrade immediately if vulnerable.
Upgrade to version 0.10.0 or later of Soft Serve. Restrict SSH API access and implement file access controls as temporary mitigations.
As of the last update, there is no confirmed active exploitation of CVE-2025-58355 in the wild, but public PoCs may emerge.
Refer to the official Soft Serve GitHub repository and related security announcements for the latest advisory information: https://github.com/charmbracelet/soft-serve
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.