Plataforma
python
Componente
kdcproxy
Corrigido em
1.1.0
1.0.1
1.0.1
0.3.3
143.0.1
823393.0.1
792.0.1
5.0.1
582.0.1
A vulnerabilidade CVE-2025-59088 é uma falha de Server-Side Request Forgery (SSRF) identificada no kdcproxy, afetando versões de 0 até 1.1.0. Essa falha permite que um atacante explore a configuração padrão do kdcproxy para realizar requisições a recursos internos, potencialmente expondo informações sensíveis e mapeando a topologia da rede. A correção para esta vulnerabilidade está disponível na versão 1.1.0.
Um atacante pode explorar esta vulnerabilidade enviando requisições para um domínio que não possui endereços de servidor configurados no kdcproxy. Por padrão, o kdcproxy tentará consultar registros SRV no DNS correspondente ao domínio solicitado. Se o atacante controlar o DNS, ele pode criar registros SRV que apontem para endereços internos ou até mesmo para o próprio atacante. Isso permite a varredura de portas em sistemas internos, a identificação de firewalls e a possível exfiltração de dados, dependendo dos serviços expostos. A vulnerabilidade é particularmente preocupante em ambientes onde o kdcproxy é usado para autenticação e autorização, pois pode permitir o acesso não autorizado a recursos críticos.
A vulnerabilidade foi divulgada em 2025-11-12. Não há informações disponíveis sobre a adição a KEV ou sobre a existência de exploits públicos. A pontuação de severidade CVSS de 8.6 (ALTO) indica um risco significativo, especialmente em ambientes onde o kdcproxy é amplamente utilizado para autenticação e autorização. A exploração bem-sucedida pode levar à descoberta de informações confidenciais e ao acesso não autorizado a recursos internos.
Organizations deploying kdcproxy in environments with exposed internal services or where DNS records are not tightly controlled are at increased risk. Shared hosting environments where multiple users share DNS infrastructure are particularly vulnerable, as an attacker could potentially manipulate SRV records to affect other tenants.
• linux / server: Monitor kdcproxy logs for unusual DNS queries, particularly those involving SRV records. Use journalctl -u kdcproxy to filter for DNS-related entries.
journalctl -u kdcproxy | grep 'DNS SRV record'• generic web: Use curl to test for SSRF by attempting to access internal services through kdcproxy.
curl http://<kdcproxy_ip>/realm/internal_service• generic web: Examine access logs for requests to unusual or unexpected internal endpoints.
disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-59088 é atualizar o kdcproxy para a versão 1.1.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, configure explicitamente os endereços de servidor no arquivo de configuração do kdcproxy para cada domínio que ele precisa acessar. Isso impede que o kdcproxy consulte registros SRV em zonas DNS não confiáveis. Como medida adicional, implemente regras de firewall para restringir o acesso à porta do kdcproxy apenas a fontes confiáveis. Monitore os logs do kdcproxy em busca de requisições suspeitas para domínios desconhecidos ou não autorizados. Após a atualização, confirme a correção verificando os logs e realizando testes de varredura de portas.
Atualize kdcproxy para a versão 1.1.0 ou superior. Alternativamente, configure explicitamente a opção "use_dns" para false na configuração para evitar consultas DNS indesejadas. Isso desabilitará a funcionalidade vulnerável e evitará a exploração da vulnerabilidade SSRF (Server-Side Request Forgery).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59088 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no kdcproxy (versões 0–1.1.0) que permite a um atacante explorar a configuração padrão para realizar requisições a recursos internos.
Se você estiver utilizando o kdcproxy nas versões de 0 até 1.1.0, você está potencialmente afetado. Verifique sua versão e atualize imediatamente.
A correção é atualizar o kdcproxy para a versão 1.1.0 ou superior. Se a atualização não for possível, configure explicitamente os endereços de servidor no arquivo de configuração.
Atualmente, não há informações disponíveis sobre exploração ativa, mas a severidade ALTA indica um risco significativo.
Consulte o site oficial do projeto kdcproxy para obter o aviso de segurança e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.