Критическая уязвимость в Git-сервере Soft Serve позволяет проводить SSRF-атаки

Банк данных угроз безопасности информации (BDU) опубликовал информацию о новой серьёзной уязвимости в популярном Git-сервере с открытым исходным кодом Soft Serve. Уязвимость, зарегистрированная под идентификатором BDU:2026-00070, получила высокий и критический уровни опасности в разных системах оценки. Эксперты предупреждают, что злоумышленник, имеющий учётную запись с правами на запись в репозиторий, может использовать эту брешь для атак на внутренние ресурсы компании.

Детали уязвимости

Суть проблемы заключается в недостаточной проверке входящих запросов на стороне сервера, конкретно в компоненте, отвечающем за обработку webhook-ов. Webhook - это механизм автоматического уведомления о событиях, например, о push-е нового кода в репозиторий. Эта уязвимость, классифицируемая как Server-Side Request Forgery (SSRF), позволяет злоумышленнику манипулировать исходящими запросами с сервера. В результате атакующий может заставить уязвимый сервер Soft Serve отправить запрос к внутренним, обычно защищённым сетевым сервисам, таким как системы управления, базы данных или метаданные облачных инстансов.

Производитель программного обеспечения, сообщество Charmbracelet, оперативно отреагировало на обнаруженную проблему. Уязвимости был присвоен идентификатор CVE-2025-64522. Согласно официальному сообществу безопасности на GitHub, проблема затрагивает все версии Soft Serve до 0.11.1 включительно. Уязвимость была подтверждена производителем, что указывает на её достоверность и серьёзность. Более того, в открытом доступе уже существуют рабочие эксплойты, что значительно повышает актуальность немедленного обновления.

Оценка по системе CVSS подчёркивает высокую степень риска. По устаревшей, но ещё используемой методике CVSS 2.0, базовая оценка составила 8 баллов, что соответствует высокому уровню опасности. Однако по современному стандарту CVSS 3.1 оценка достигает критических 9.1 балла. Ключевыми факторами такой высокой оценки стали возможность атаки из сети без необходимости сложных подготовительных условий и критическое влияние на конфиденциальность. Также важно отметить наличие в векторе атаки параметра Scope: Changed (S:C), означающего, что успешная эксплуатация может затронуть ресурсы за пределами самого уязвимого компонента.

Основным вектором эксплуатации является подмена при взаимодействии. На практике это означает, что злоумышленник, авторизованный в системе, может настроить webhook для репозитория, указав в качестве цели URL внутреннего сервиса. При срабатывании этого webhook-а сервер Soft Serve, доверяя введённым данным, отправит запрос по указанному адресу. Следовательно, это может привести к утечке конфиденциальной информации с внутренних систем или использоваться как плацдарм для дальнейшего продвижения по корпоративной сети.

Единственным эффективным способом устранения угрозы является немедленное обновление программного обеспечения до версии 0.11.2 или выше. Разработчики полностью устранили уязвимость в этих релизах. Администраторам, использующим Soft Serve, настоятельно рекомендуется провести процедуру обновления как можно скорее, не дожидаясь возможных инцидентов. Дополнительные рекомендации по проверке конфигурации и мерам безопасности можно найти в официальном бюллетене безопасности GitHub.

Данный случай ярко иллюстрирует классические риски, связанные с компонентами автоматизации в DevOps-среде. Такие инструменты, как webhook-и, будучи мощным механизмом интеграции, требуют особо тщательной валидации входящих данных и контроля доступа. Регулярное обновление используемого программного обеспечения, особенно сетевых сервисов, остаётся краеугольным камнем стратегии кибербезопасности для организаций любого размера. Эксперты также советуют применять принцип минимальных привилегий, ограничивая права учётных записей на запись в репозитории только действительно необходимым сотрудникам.

Детали уязвимости

Ссылки