Plataforma
go
Componente
github.com/charmbracelet/soft-serve
Corrigido em
0.6.1
0.11.4
A vulnerabilidade CVE-2026-30832 é uma falha de SSRF (Server-Side Request Forgery) descoberta no soft-serve, uma biblioteca Go desenvolvida pelo charmbracelet. Essa falha permite que atacantes explorem a importação de repositórios Large File Storage (LFS) para acessar recursos internos da rede, potencialmente expondo dados sensíveis. Versões do soft-serve anteriores a 0.11.4 são afetadas. Uma correção foi lançada na versão 0.11.4.
Um atacante pode explorar essa vulnerabilidade enviando uma requisição maliciosa durante o processo de importação de um repositório LFS. A falta de validação adequada do endpoint LFS permite que o atacante direcione a requisição para qualquer URL, incluindo recursos internos que normalmente não seriam acessíveis externamente. Isso pode resultar na exposição de informações confidenciais, como chaves de API, credenciais de banco de dados ou dados de configuração. Em cenários mais graves, um atacante poderia usar essa vulnerabilidade para realizar ataques de escalonamento de privilégios ou até mesmo comprometer a integridade do sistema.
A vulnerabilidade foi divulgada em 2026-03-10. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE em catálogos como o KEV. Não foram identificados Proof of Concepts (PoCs) públicos até o momento. A avaliação da probabilidade de exploração é considerada baixa devido à falta de informação pública sobre exploração e à relativa complexidade da exploração.
Applications built using the soft-serve Go library for repository management, particularly those handling external repository imports, are at risk. This includes CI/CD pipelines, build systems, and any application that leverages soft-serve to import and process Git repositories.
• go / server:
find /path/to/your/go/project -name "soft-serve.go" -print0 | xargs grep -l "LFS endpoint"• generic web:
curl -I <your_application_url>/repo_import | grep -i "lfs"disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-30832 é atualizar o soft-serve para a versão 0.11.4 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar validação de endpoint LFS no código da aplicação que utiliza o soft-serve. Isso pode ser feito verificando se o endpoint LFS está dentro de um domínio permitido ou aplicando outras restrições de acesso. Além disso, monitore os logs do sistema em busca de requisições suspeitas para o endpoint LFS.
Atualize Soft Serve para a versão 0.11.4 ou superior. Esta versão corrige a vulnerabilidade SSRF ao validar corretamente o endpoint LFS durante a importação de repositórios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de SSRF que permite a um atacante acessar recursos internos através da importação de repositórios LFS no soft-serve, afetando versões anteriores a 0.11.4.
Sim, se você estiver utilizando uma versão do soft-serve anterior a 0.11.4 e importar repositórios LFS, você está potencialmente afetado.
Atualize o soft-serve para a versão 0.11.4 ou superior. Se a atualização não for possível, implemente validação de endpoint LFS.
Atualmente, não há informações disponíveis sobre exploração ativa da vulnerabilidade.
Consulte o repositório oficial do charmbracelet/soft-serve no GitHub para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.