CVE-2025-58158

ALT (8,8)

CVSS3: 0,0

Harness Open Source és una plataforma de desenvolupament integral amb gestió de control de codi font, canals de CI/CD, entorns de desenvolupament allotjats i registres d’artefactes (errors). Abans de la versió 3.3.0, el servidor Harness git LFS de codi obert (Gitness) exposava l’API per recuperar i carregar fitxers mitjançant git LFS. La implementació de l’API de càrrega de fitxers git LFS és vulnerable a l’escriptura arbitrària de fitxers. A causa d’una higienització inadequada de la ruta de càrrega, un usuari autenticat maliciós que té accés a l’API del servidor Harness Gitness pot fer servir una sol·licitud de càrrega manipulada per escriure fitxers arbitraris a qualsevol ubicació del sistema de fitxers, i fins i tot pot comprometre el servidor. Els usuaris que fan servir git LFS són vulnerables.

Sistemes Afectats

• harness harness < 3.3.0

Remediació
Aquest problema s’ha corregit a la versió 3.3.0. Vegeu-ne les referències.

Referències

• https://github.com/harness/harness/security/advisories/GHSA-w469-hj2f-jpr5
• https://github.com/harness/harness/commit/21c5ce42ae13740b1cad47706c2ec85e72cc8c20
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/58xxx/CVE-2025-58158.json