开源 DevOps 生态系统再度遭遇严重安全问题——此次受影响的是 Harness Open Source,该平台集成了代码托管、自动化流水线、Gitspaces 以及制品库等功能。新披露的漏洞被追踪为 CVE-2025-58158,存在于 Harness Gitness Git LFS 服务器中,可被利用实施 任意文件写入攻击。该漏洞的 CVSS 评分为 8.8,对依赖 Git Large File Storage (LFS) 的开发团队构成重大风险。
漏洞源自 Harness Gitness 中 Git LFS 文件上传 API。官方通告指出:
“开源 Harness git LFS 服务器(Gitness)通过 API 提供文件上传和下载功能,但其文件上传 API 的实现存在安全缺陷,导致可能被利用执行任意文件写入。”
核心问题在于上传路径缺乏有效过滤。攻击者只要拥有经过认证的访问权限,即可构造恶意上传请求,将文件写入服务器文件系统的任意位置。
由于漏洞可实现任意路径写入,其潜在影响极为严重:
-
服务器被攻陷 —— 攻击者可能覆盖关键二进制文件或配置文件,从而完全控制系统。
-
权限提升 —— 在敏感目录中植入恶意文件,可能获得更高权限并执行恶意代码。
-
供应链风险 —— Harness Gitness 与 CI/CD 流水线集成,一旦被攻陷,攻击者可能污染构建制品,或在代码仓库中注入后门。
官方警告称:
“恶意的认证用户只要能够访问 Harness Gitness 服务器 API,即可通过构造上传请求,将任意文件写入文件系统的任意位置,甚至可能导致服务器被完全攻陷。”
受影响版本:
-
v3.3.0 之前的所有版本
-
所有在 Harness Gitness 中使用 Git LFS 的用户均存在风险
目前,Harness 已发布修复版本 v3.3.0,用于解决该漏洞。
发表评论
您还未登录,请先登录。
登录