Platform
go
Component
github.com/bpg/terraform-provider-proxmox
Opgelost in
0.93.2
0.93.1
CVE-2026-25499 beschrijft een kwetsbaarheid in de terraform-provider-proxmox, specifiek gerelateerd aan onveilige sudo-aanbevelingen in de documentatie. Deze onveilige aanbevelingen kunnen leiden tot ongeautoriseerde toegang tot Proxmox-omgevingen. De kwetsbaarheid treft versies van terraform-provider-proxmox vóór 0.93.1. Een update naar versie 0.93.1 of hoger is beschikbaar om dit probleem te verhelpen.
De impact van deze kwetsbaarheid ligt in de mogelijkheid voor aanvallers om ongeautoriseerde toegang te verkrijgen tot de Proxmox-infrastructuur via de terraform-provider. Door de onveilige sudo-aanbevelingen in de documentatie te volgen, kan een aanvaller mogelijk root-rechten verwerven binnen de Proxmox-omgeving. Dit kan leiden tot data-exfiltratie, configuratiewijzigingen, of zelfs volledige controle over de server. De ernst van de impact is aanzienlijk, aangezien het de beveiliging van de gehele Proxmox-infrastructuur in gevaar kan brengen. Een succesvolle exploitatie kan vergelijkbare gevolgen hebben als het verkrijgen van root-toegang via andere methoden, zoals het misbruiken van zwakke wachtwoorden of het uitbuiten van andere kwetsbaarheden.
Op dit moment is er geen publieke exploitatie van CVE-2026-25499 bekend. De kwetsbaarheid is recentelijk openbaar gemaakt (2026-02-05) en is opgenomen in de CISA KEV catalogus (status onbekend). Er zijn geen actieve campagnes gerapporteerd die deze kwetsbaarheid misbruiken. De kans op exploitatie is momenteel laag, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige risico's te minimaliseren.
Organizations utilizing Terraform to manage Proxmox environments are at risk. This includes DevOps teams, infrastructure engineers, and anyone responsible for configuring and maintaining Proxmox clusters. Specifically, those who have followed the documentation's sudo recommendations are most vulnerable.
disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-25499 is het upgraden van de terraform-provider-proxmox naar versie 0.93.1 of hoger. Deze versie bevat de correctie voor de onveilige sudo-aanbevelingen. Indien een directe upgrade niet mogelijk is, vermijd dan het volgen van de sudo-aanbevelingen in de documentatie van de getroffen versie. Controleer de documentatie zorgvuldig en implementeer waar mogelijk een 'least privilege' principe voor gebruikers die de terraform-provider gebruiken. Er zijn geen specifieke WAF-regels of configuratiewijzigingen die deze kwetsbaarheid direct kunnen mitigeren, aangezien het probleem in de documentatie ligt. Na de upgrade, controleer de configuratie van de terraform-provider en de Proxmox-omgeving om er zeker van te zijn dat de sudo-rechten correct zijn ingesteld en beperkt.
Actualice el proveedor de Terraform para Proxmox a la versión 0.93.1 o superior. Esta versión corrige la configuración de sudo insegura en la documentación. Al actualizar, se previene la posibilidad de escapar del directorio y editar archivos arbitrarios en el sistema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25499 is a HIGH severity vulnerability in Terraform Provider Proxmox where the documentation recommends insecure sudo configurations, potentially allowing privilege escalation.
You are affected if you are using Terraform Provider Proxmox versions prior to 0.93.1 and have followed the documentation's sudo recommendations.
Upgrade to Terraform Provider Proxmox version 0.93.1 or later and review your Terraform configurations to ensure they do not implement the insecure sudo rules.
There are no confirmed reports of active exploitation at this time, but the potential for privilege escalation warrants attention.
Refer to the Terraform Provider Proxmox repository on GitHub for the latest information and advisory: [https://github.com/bpg/terraform-provider-proxmox](https://github.com/bpg/terraform-provider-proxmox)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.