一、 漏洞 CVE-2025-58158 基础信息
漏洞信息
                                        # Gitness LFS 任意文件写入漏洞

## 概述

Harness Open Source 是一个端到端的开发者平台,提供源码管理、CI/CD 流水线、托管开发环境和制品仓库等功能。在版本 3.3.0 之前,其内置的 Git LFS 服务(基于 Gitness)存在任意文件写入漏洞。

## 影响版本

版本 3.3.0 之前的所有版本。

## 漏洞细节

Git LFS 文件上传接口未能正确校验上传路径,导致存在路径穿越风险。经过认证的恶意用户可通过构造上传请求,将任意文件写入系统任意路径。

## 漏洞影响

攻击者可利用此漏洞在目标系统上写入任意文件,可能导致服务被控制或服务器被完全接管。使用了 Harness Open Source Git LFS 功能的用户均受影响。

## 修复版本

该问题已在 3.3.0 版本中修复。用户应升级至该版本或更高版本以获得安全更新。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Harness Affected by Arbitrary File Write in Gitness LFS server
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Harness Open Source is an end-to-end developer platform with Source Control Management, CI/CD Pipelines, Hosted Developer Environments, and Artifact Registries. Prior to version 3.3.0, Open Source Harness git LFS server (Gitness) exposes api to retrieve and upload files via git LFS. Implementation of upload git LFS file api is vulnerable to arbitrary file write. Due to improper sanitization for upload path, a malicious authenticated user who has access to Harness Gitness server api can use a crafted upload request to write arbitrary file to any location on file system, may even compromise the server. Users using git LFS are vulnerable. This issue has been patched in version 3.3.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Harness 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Harness是Harness开源的一个开发平台。 Harness 3.3.0之前版本存在安全漏洞,该漏洞源于上传路径清理不当,可能导致任意文件写入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-58158 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-58158 的情报信息
四、漏洞 CVE-2025-58158 的评论

暂无评论

发表评论