Plataforma
go
Componente
github.com/bpg/terraform-provider-proxmox
Corregido en
0.93.2
0.93.1
El CVE-2026-25499 afecta al proveedor de Terraform terraform-provider-proxmox, específicamente a la documentación que recomienda el uso de sudo de manera insegura. Esta recomendación puede permitir a un atacante ejecutar comandos con privilegios elevados en el sistema gestionado por Terraform. La vulnerabilidad afecta a versiones anteriores a 0.93.1 y se ha solucionado en esta versión.
La principal consecuencia de esta vulnerabilidad es la posibilidad de ejecución de comandos arbitrarios con privilegios de sudo. Un atacante que explote esta debilidad podría obtener control total sobre los recursos gestionados por el proveedor de Terraform, incluyendo máquinas virtuales, contenedores y almacenamiento en Proxmox. Esto podría resultar en la pérdida de datos, la interrupción del servicio o el compromiso de la infraestructura completa. Aunque no hay informes de explotación activa, la facilidad de explotación y el potencial impacto hacen de esta vulnerabilidad una preocupación significativa.
El CVE-2026-25499 fue publicado el 5 de febrero de 2026. Actualmente no se conoce la existencia de exploits públicos o campañas de explotación activas. La vulnerabilidad se considera de riesgo medio debido a su potencial impacto y la relativa facilidad de explotación si se siguen las recomendaciones de la documentación vulnerable. No está listado en el KEV de CISA.
Organizations utilizing Terraform to manage Proxmox environments are at risk. This includes DevOps teams, infrastructure engineers, and anyone responsible for configuring and maintaining Proxmox clusters. Specifically, those who have followed the documentation's sudo recommendations are most vulnerable.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
La mitigación principal para el CVE-2026-25499 es actualizar el proveedor terraform-provider-proxmox a la versión 0.93.1 o superior. Si la actualización causa problemas de compatibilidad, considere revisar la configuración de Terraform para evitar el uso de sudo en las tareas automatizadas. Implemente el principio de mínimo privilegio, otorgando solo los permisos necesarios a las cuentas de servicio utilizadas por Terraform. Revise la documentación del proveedor para obtener las mejores prácticas de seguridad.
Actualice el proveedor de Terraform para Proxmox a la versión 0.93.1 o superior. Esta versión corrige la configuración de sudo insegura en la documentación. Al actualizar, se previene la posibilidad de escapar del directorio y editar archivos arbitrarios en el sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25499 is a HIGH severity vulnerability in Terraform Provider Proxmox where the documentation recommends insecure sudo configurations, potentially allowing privilege escalation.
You are affected if you are using Terraform Provider Proxmox versions prior to 0.93.1 and have followed the documentation's sudo recommendations.
Upgrade to Terraform Provider Proxmox version 0.93.1 or later and review your Terraform configurations to ensure they do not implement the insecure sudo rules.
There are no confirmed reports of active exploitation at this time, but the potential for privilege escalation warrants attention.
Refer to the Terraform Provider Proxmox repository on GitHub for the latest information and advisory: [https://github.com/bpg/terraform-provider-proxmox](https://github.com/bpg/terraform-provider-proxmox)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.