Plateforme
python
Composant
maxkb
Corrigé dans
2.3.2
La vulnérabilité CVE-2025-64511 est une faille de type SSRF (Server-Side Request Forgery) affectant MaxKB, un assistant IA open-source pour les entreprises. Cette faille permet à un utilisateur d'accéder à des services internes du réseau, tels que des bases de données, via le code Python du module outil, bien que le processus s'exécute dans un environnement sandbox. La version 2.3.1 de MaxKB corrige cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité SSRF pourrait potentiellement accéder à des données sensibles stockées dans des bases de données internes ou d'autres services réseau exposés. Bien que le processus s'exécute dans un sandbox, une configuration incorrecte ou des faiblesses dans le sandbox pourraient permettre à l'attaquant de contourner ces protections et d'obtenir un accès non autorisé. L'impact potentiel est significatif, car il pourrait compromettre la confidentialité et l'intégrité des données de l'entreprise. Il est important de noter que l'exploitation réussie pourrait nécessiter une connaissance de l'architecture interne du réseau et des services exposés.
La vulnérabilité CVE-2025-64511 a été rendue publique le 13 novembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu. La probabilité d'exploitation est considérée comme faible à modérée en raison de la nécessité d'une connaissance de l'architecture interne du réseau et de la présence d'un sandbox.
Organizations utilizing MaxKB for AI-powered enterprise applications are at risk, particularly those with internal databases or services accessible via HTTP or other protocols. Environments with weak network segmentation or limited WAF protection are especially vulnerable. Users relying on MaxKB for sensitive data processing should prioritize patching.
• python / server:
import requests
import urllib3
http = urllib3.PoolManager()
def check_ssrf(url):
try:
r = http.request('GET', url, timeout=3)
if r.status == 200:
print(f"[+] SSRF possible: {url}")
else:
print(f"[-] SSRF not detected: {url}")
except Exception as e:
print(f"[-] Error checking {url}: {e}")
# Example usage (replace with internal URLs)
check_ssrf('http://localhost:5432')
check_ssrf('http://127.0.0.1:8080')• generic web:
curl -I http://<maxkb_server>/tool/module?url=http://localhost:5432 | grep HTTP/1.1disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour MaxKB vers la version 2.3.1 ou ultérieure, qui corrige la vulnérabilité SSRF. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès réseau du processus MaxKB via des règles de pare-feu ou de proxy. Surveillez attentivement les journaux d'accès pour détecter des requêtes suspectes vers des ressources internes. Envisagez également de renforcer le sandbox pour limiter les capacités du processus MaxKB, bien que cela puisse affecter sa fonctionnalité. Après la mise à jour, vérifiez que le module outil ne peut plus accéder aux services internes non autorisés en effectuant des tests de pénétration.
Mettez à jour MaxKB à la version 2.3.1 ou ultérieure. Cette version corrige la vulnérabilité SSRF qui permet l'accès à des services internes du réseau. La mise à jour atténuera le risque d'accès non autorisé à la base de données et à d'autres ressources internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-64511 est une vulnérabilité SSRF dans MaxKB, permettant l'accès non autorisé à des services internes. Elle affecte les versions inférieures à 2.3.1.
Vous êtes affecté si vous utilisez MaxKB en version 2.3.0 ou antérieure. Vérifiez votre version et mettez à jour si nécessaire.
La solution est de mettre à jour MaxKB vers la version 2.3.1 ou ultérieure. Si la mise à jour n'est pas possible, restreignez l'accès réseau du processus MaxKB.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2025-64511.
Consultez le site web officiel de MaxKB ou leur page de sécurité pour obtenir l'avis officiel concernant CVE-2025-64511.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.