Plateforme
go
Composant
github.com/bpg/terraform-provider-proxmox
Corrigé dans
0.93.2
0.93.1
La vulnérabilité CVE-2026-25499 affecte le fournisseur Terraform terraform-provider-proxmox, hébergé sur GitHub. Elle se manifeste par une recommandation d'utilisation de sudo dans la documentation, ce qui peut conduire à une configuration non sécurisée et à une potentielle élévation de privilèges. Cette faille impacte les versions antérieures à 0.93.1 et a été corrigée dans cette version.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un utilisateur malveillant d'exploiter la recommandation sudo non sécurisée dans la documentation pour obtenir des privilèges élevés sur le système Proxmox géré par Terraform. Un attaquant pourrait potentiellement modifier la configuration de Proxmox, accéder à des données sensibles ou même prendre le contrôle complet du serveur. Bien que l'exploitation directe soit limitée par la nécessité de comprendre et d'appliquer la configuration incorrecte, le risque reste significatif, en particulier dans les environnements où les utilisateurs suivent aveuglément la documentation sans validation.
Cette vulnérabilité n'est pas encore répertoriée sur KEV, et son score EPSS n'a pas été évalué. Aucune preuve d'exploitation active n'est actuellement disponible. La vulnérabilité a été divulguée le 2026-02-05. Il est important de noter que l'exploitation de cette vulnérabilité nécessite une compréhension approfondie de Terraform et de Proxmox.
Organizations utilizing Terraform to manage Proxmox environments are at risk. This includes DevOps teams, infrastructure engineers, and anyone responsible for configuring and maintaining Proxmox clusters. Specifically, those who have followed the documentation's sudo recommendations are most vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
La mitigation principale consiste à mettre à jour le fournisseur Terraform terraform-provider-proxmox vers la version 0.93.1 ou ultérieure, qui corrige cette recommandation sudo non sécurisée. En attendant la mise à jour, il est fortement recommandé de ne pas suivre la documentation concernant l'utilisation de sudo et de revoir les configurations existantes pour identifier et supprimer toute utilisation de sudo non nécessaire. Une analyse approfondie de la configuration Terraform et des permissions Proxmox est également conseillée pour minimiser le risque d'élévation de privilèges.
Actualice el proveedor de Terraform para Proxmox a la versión 0.93.1 o superior. Esta versión corrige la configuración de sudo insegura en la documentación. Al actualizar, se previene la posibilidad de escapar del directorio y editar archivos arbitrarios en el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25499 is a HIGH severity vulnerability in Terraform Provider Proxmox where the documentation recommends insecure sudo configurations, potentially allowing privilege escalation.
You are affected if you are using Terraform Provider Proxmox versions prior to 0.93.1 and have followed the documentation's sudo recommendations.
Upgrade to Terraform Provider Proxmox version 0.93.1 or later and review your Terraform configurations to ensure they do not implement the insecure sudo rules.
There are no confirmed reports of active exploitation at this time, but the potential for privilege escalation warrants attention.
Refer to the Terraform Provider Proxmox repository on GitHub for the latest information and advisory: [https://github.com/bpg/terraform-provider-proxmox](https://github.com/bpg/terraform-provider-proxmox)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.