平台
go
组件
github.com/charmbracelet/soft-serve
修复版本
0.10.1
0.10.0
CVE-2025-58355描述了github.com/charmbracelet/soft-serve中的一个任意文件访问漏洞。该漏洞允许攻击者通过SSH API写入任意文件,可能导致系统配置被篡改或恶意代码被植入。该漏洞影响所有早于0.10.0的版本,已于2025年9月8日公开披露,建议用户尽快升级。
攻击者可以利用此漏洞在Soft Serve服务器的文件系统中写入任意文件,无需身份验证。这可能导致攻击者修改配置文件,植入后门程序,甚至完全控制受影响的系统。由于Soft Serve通常用于处理敏感数据,例如SSH密钥,因此该漏洞的潜在影响非常严重。攻击者可以利用此漏洞获取敏感信息,进行横向移动,并最终控制整个网络。 类似于其他文件写入漏洞,攻击者可以利用此漏洞覆盖关键系统文件,导致拒绝服务。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。该漏洞尚未被添加到CISA KEV目录中。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations using Soft Serve as an SSH server, particularly those with exposed SSH APIs or limited access controls, are at risk. Development teams relying on Soft Serve within their Go applications should also prioritize patching. Shared hosting environments utilizing Soft Serve are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / server:
find / -name "soft_serve" -type d -print0 | xargs -0 grep -i "ssh api file write"• generic web:
curl -I http://<server_ip>/ssh_api_endpointInspect the response headers for any unusual configurations or exposed file paths.
disclosure
漏洞利用状态
EPSS
0.07% (20% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Soft Serve升级至0.10.0或更高版本。如果无法立即升级,可以考虑使用Web应用防火墙(WAF)来阻止对SSH API的恶意请求。此外,应限制对SSH API的访问权限,只允许授权用户访问。监控Soft Serve服务器的文件系统,查找未经授权的文件修改。如果发现可疑活动,应立即隔离受影响的系统并进行调查。升级后,请验证文件系统完整性,确认漏洞已成功修复。
Actualice soft-serve a la versión 0.10.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de escritura arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la versión anterior.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-58355描述了Soft Serve中存在的任意文件写入漏洞,允许攻击者通过SSH API写入任意文件,可能导致系统被篡改。
如果您正在使用0.10.0之前的Soft Serve版本,则可能受到此漏洞的影响。请立即升级至最新版本。
升级至0.10.0或更高版本是修复此漏洞的最佳方法。如果无法升级,请使用WAF或限制对SSH API的访问。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。
请访问github.com/charmbracelet/soft-serve的官方仓库,查找有关此漏洞的公告和修复信息。
上传你的 go.mod 文件,立即知道是否受影响。