Platform
linux
Component
maas
Opgelost in
3.3.11
3.4.9
3.5.9
3.6.2
CVE-2025-7044 beschrijft een Improper Input Validation kwetsbaarheid in de user websocket handler van MAAS. Deze kwetsbaarheid stelt een geauthenticeerde, niet-bevoegde aanvaller in staat om de is_superuser property te injecteren en zichzelf te promoveren tot administrator. De kwetsbaarheid treft MAAS versies 3.3.0 tot en met 3.8.0. Een fix is beschikbaar in versie 3.8.1.
Een succesvolle exploitatie van CVE-2025-7044 stelt een aanvaller in staat om volledige administratieve controle over de MAAS-implementatie te verkrijgen. Dit omvat de mogelijkheid om servers te beheren, netwerken te configureren, gebruikersaccounts te wijzigen en de integriteit van de MAAS-infrastructuur te compromitteren. De impact is aanzienlijk, aangezien een aanvaller de controle over de gehele MAAS-omgeving kan overnemen, wat kan leiden tot dataverlies, verstoring van de dienstverlening en potentiële beveiligingsinbreuken op de beheerde systemen. Het misbruik van deze kwetsbaarheid kan vergelijkbare gevolgen hebben als het verkrijgen van root-toegang op de MAAS-server zelf.
CVE-2025-7044 is openbaar bekend en de kwetsbaarheid is relatief eenvoudig te exploiteren. Er zijn momenteel geen publieke exploitatiecampagnes gemeld, maar de beschikbaarheid van de kwetsbaarheid en de relatieve eenvoud van de exploitatie maken het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven).
Organizations heavily reliant on MAAS for server provisioning and management are particularly at risk. Environments with limited security controls or those using older MAAS versions are also more vulnerable. Shared hosting environments where multiple users share a single MAAS instance should be prioritized for patching.
• linux / server:
journalctl -u maas -g 'websocket handler' | grep -i 'user.update'• linux / server:
ps aux | grep -i 'maas websocket handler' | grep -i 'user.update'• linux / server:
find /var/log/maas/ -name '*.log' -print0 | xargs -0 grep -i 'is_superuser=true'disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-7044 is het upgraden van MAAS naar versie 3.8.1 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de user websocket handler. Dit kan worden bereikt door firewallregels te implementeren die alleen toegang verlenen aan vertrouwde bronnen. Het monitoren van de MAAS-logbestanden op verdachte activiteiten, zoals ongebruikelijke user.update websocket requests, kan ook helpen bij het detecteren van pogingen tot exploitatie. Na de upgrade, bevestig de correcte werking door een gebruiker zonder administrator rechten te testen en te verifiëren dat deze geen administrator rechten kan verkrijgen.
Actualiseer MAAS naar een versie die de input validatie kwetsbaarheid corrigeert. Raadpleeg de Ubuntu en MAAS release notes voor specifieke instructies over de update. Als tijdelijke maatregel, bekijk en verstevig de MAAS API toegangsbeleidsregels.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-7044 is a vulnerability in MAAS versions 3.3.0–3.8.0 that allows an authenticated user to escalate privileges to administrator, gaining full control. It’s rated HIGH severity (7.7 CVSS).
You are affected if you are running MAAS versions 3.3.0 through 3.8.0. Upgrade to 3.8.1 or later to mitigate the risk.
The recommended fix is to upgrade to MAAS version 3.8.1 or a later version. If an upgrade is not immediately possible, consider temporary workarounds like restricting access to the websocket handler.
There is currently no public information indicating active exploitation of CVE-2025-7044, but the vulnerability is publicly known and should be addressed promptly.
Refer to the official MAAS security advisory for detailed information and updates regarding CVE-2025-7044. Check the Canonical website for the latest advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.