Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

CVE-2026-30832

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
07/03/2026
Última modificación:
09/03/2026

Descripción

Soft Serve es un servidor Git autoalojable para la línea de comandos. Desde la versión 0.6.0 hasta antes de la versión 0.11.4, un usuario SSH autenticado puede forzar al servidor a realizar solicitudes HTTP a direcciones IP internas/privadas ejecutando repo import con una URL --lfs-endpoint manipulada. La solicitud de lote inicial es ciega (la respuesta de un endpoint de metadatos no se analizará como JSON LFS válido), pero un atacante que aloja un servidor LFS falso puede encadenar esto en un acceso de lectura completo a servicios internos devolviendo URLs de descarga que apuntan a objetivos internos. Este problema ha sido parcheado en la versión 0.11.4.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA

Referencias a soluciones, herramientas e información