平台
go
组件
github.com/charmbracelet/soft-serve
修复版本
0.6.1
0.11.4
CVE-2026-30832描述了github.com/charmbracelet/soft-serve中的服务器端请求伪造(SSRF)漏洞。该漏洞源于在仓库导入过程中未验证LFS端点,攻击者可能利用此漏洞访问内部网络资源。该漏洞影响0.11.0及更早版本,已于0.11.4版本中修复。
此SSRF漏洞允许攻击者通过软服务(soft-serve)的仓库导入功能,向内部网络发送未经授权的请求。攻击者可以利用此漏洞扫描内部网络,访问敏感数据,甚至可能执行进一步的攻击。由于软服务通常用于处理Git仓库,因此该漏洞可能影响到使用该工具的开发团队和组织。攻击者可以利用此漏洞绕过防火墙和安全策略,从而实现横向移动并扩大攻击范围。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于其严重性,建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录中。公开的PoC可能存在,因此需要密切关注安全社区的动态。
Applications built using the soft-serve Go library for repository management, particularly those handling external repository imports, are at risk. This includes CI/CD pipelines, build systems, and any application that leverages soft-serve to import and process Git repositories.
• go / server:
find /path/to/your/go/project -name "soft-serve.go" -print0 | xargs grep -l "LFS endpoint"• generic web:
curl -I <your_application_url>/repo_import | grep -i "lfs"disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
为了缓解CVE-2026-30832的影响,建议立即升级到0.11.4或更高版本。如果无法立即升级,可以考虑使用Web应用防火墙(WAF)来过滤恶意请求,并限制软服务对内部资源的访问。此外,应审查仓库导入的配置,确保LFS端点配置正确,并禁用不必要的LFS功能。在升级后,请验证软服务是否已正确配置,并确认新的版本已成功部署。
将 Soft Serve 更新到 0.11.4 或更高版本。此版本通过在 repo 导入期间正确验证 LFS 端点来修复 SSRF 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-30832描述了github.com/charmbracelet/soft-serve中的服务器端请求伪造(SSRF)漏洞,攻击者可利用此漏洞访问内部资源。
如果您正在使用soft-serve 0.11.0或更早版本,则可能受到此漏洞的影响。
建议立即升级到0.11.4或更高版本。
目前尚未观察到大规模的利用活动,但由于其严重性,建议尽快采取缓解措施。
请查阅github.com/charmbracelet/soft-serve的官方仓库或相关安全公告。
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。