PT-2025-35297 · Harness · Harness Open Source+1

Thekavorka

·

Publicado

2025-08-29

·

Atualizado

2025-10-08

·

CVE-2025-58158

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Harness Open Source anteriores à 3.3.0
Descrição O servidor git Large File Storage (LFS) do Harness Open Source (Gitness) expõe APIs para recuperar e fazer upload de arquivos via git LFS. A implementação da API de upload de arquivos git LFS é suscetível à gravação arbitrária de arquivos devido à sanitização inadequada do caminho de upload. Um usuário autenticado com acesso à API do servidor Harness Gitness pode elaborar uma requisição de upload maliciosa para gravar arquivos arbitrários em qualquer local no sistema de arquivos, comprometendo potencialmente o servidor. Usuários que utilizam o git LFS são afetados.
Recomendações Atualize para a versão 3.3.0 para corrigir este problema.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-73CWE-22

Identificadores relacionados

CVE-2025-58158
GHSA-W469-HJ2F-JPR5
GO-2025-3926
OPENSUSE-SU-2025:15564-1
SUSE-SU-2025:03289-1

Produtos afetados

Gitness
Harness Open Source