2.3.2
CVE-2025-64511 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in MaxKB, een open-source AI assistent voor bedrijven. Deze kwetsbaarheid stelt een aanvaller in staat om interne netwerkdiensten te benaderen, ondanks dat het proces in een sandbox draait. De kwetsbaarheid treft versies van MaxKB tot en met 2.3.0. Een fix is beschikbaar in versie 2.3.1.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne netwerkdiensten, zoals databases, benaderen zonder authenticatie. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige data, configuratiegegevens en andere kritieke informatie. Hoewel het proces in een sandbox draait, kan een misconfiguratie of onvoorziene interactie de sandbox omzeilen, waardoor de impact aanzienlijk toeneemt. De mogelijkheid tot laterale beweging binnen het interne netwerk is aanwezig, waardoor de aanval zich verder kan verspreiden.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes gericht op CVE-2025-64511. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is toegevoegd aan de NVD-database op 2025-11-13. De EPSS score is nog niet bekend, maar gezien de potentiële impact en de relatieve eenvoud van exploitatie, is een medium tot hoge waarschijnlijkheid van exploitatie niet uitgesloten.
Organizations utilizing MaxKB for AI-powered enterprise applications are at risk, particularly those with internal databases or services accessible via HTTP or other protocols. Environments with weak network segmentation or limited WAF protection are especially vulnerable. Users relying on MaxKB for sensitive data processing should prioritize patching.
• python / server:
import requests
import urllib3
http = urllib3.PoolManager()
def check_ssrf(url):
try:
r = http.request('GET', url, timeout=3)
if r.status == 200:
print(f"[+] SSRF possible: {url}")
else:
print(f"[-] SSRF not detected: {url}")
except Exception as e:
print(f"[-] Error checking {url}: {e}")
# Example usage (replace with internal URLs)
check_ssrf('http://localhost:5432')
check_ssrf('http://127.0.0.1:8080')• generic web:
curl -I http://<maxkb_server>/tool/module?url=http://localhost:5432 | grep HTTP/1.1disclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-64511 is het updaten van MaxKB naar versie 2.3.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke workarounds zoals het implementeren van een Web Application Firewall (WAF) met regels die SSRF-aanvallen detecteren en blokkeren. Beperk de toegang tot interne netwerkdiensten via netwerksegmentatie en firewallregels. Controleer de configuratie van de sandbox om er zeker van te zijn dat deze correct is geïmplementeerd en alle potentiële ontsnappingsroutes zijn afgedekt. Na de upgrade, verifieer de fix door te proberen interne netwerkdiensten te benaderen via de tool module; dit zou moeten mislukken.
Werk MaxKB bij naar versie 2.3.1 of hoger. Deze versie corrigeert de SSRF-vulnerability die toegang tot interne netwerkdiensten mogelijk maakt. De update zal het risico van ongeautoriseerde toegang tot de database en andere interne resources verminderen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-64511 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in MaxKB AI Assistant tot en met versie 2.3.0, waardoor interne netwerkdiensten benaderbaar zijn.
Ja, als u een versie van MaxKB gebruikt die lager is dan 2.3.1, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
De beste oplossing is het updaten van MaxKB naar versie 2.3.1 of hoger. Indien dit niet mogelijk is, implementeer dan tijdelijke mitigaties zoals een WAF.
Op dit moment zijn er geen meldingen van actieve exploitatiecampagnes, maar de potentiële impact maakt het belangrijk om deze kwetsbaarheid te patchen.
Raadpleeg de MaxKB documentatie en release notes voor de officiële aankondiging en details over de fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.