CVE-2025-64522

Опубликовано: 10 нояб. 2025

Источник: nvd

CVSS3: 9.1

CVSS3: 7.6

EPSS Низкий

Описание

Soft Serve is a self-hostable Git server for the command line. Versions prior to 0.11.1 have a SSRF vulnerability where webhook URLs are not validated, allowing repository administrators to create webhooks targeting internal services, private networks, and cloud metadata endpoints. Version 0.11.1 fixes the vulnerability.

Ссылки

https://github.com/charmbracelet/soft-serve/commit/bb73b9a0eea0d902da4811420535842a4f9aae3b
Patch
https://github.com/charmbracelet/soft-serve/releases/tag/v0.11.1
Release Notes
https://github.com/charmbracelet/soft-serve/security/advisories/GHSA-vwq2-jx9q-9h9f
Exploit
Vendor Advisory
https://github.com/charmbracelet/soft-serve/security/advisories/GHSA-vwq2-jx9q-9h9f
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:charm:soft_serve:*:*:*:*:*:go:*:*

Версия до 0.11.1 (исключая)

EPSS

Процентиль: 12%

0.00041

Низкий

9.1 Critical

CVSS3

7.6 High

CVSS3

Дефекты

CWE-918

Связанные уязвимости

GHSA-vwq2-jx9q-9h9f

CVSS3: 9.1

github

3 месяца назад

Soft Serve is vulnerable to SSRF through its Webhooks

BDU:2026-00070

CVSS3: 9.1

fstec

3 месяца назад

Уязвимость компонента webhook Git-сервера Soft Serve, позволяющая нарушителю осуществить SSRF-атаку

EPSS

Процентиль: 12%

0.00041

Низкий

9.1 Critical

CVSS3

7.6 High

CVSS3

Дефекты

CWE-918