平台
go
组件
github.com/bpg/terraform-provider-proxmox
修复版本
0.93.2
0.93.1
CVE-2026-25499描述了github.com/bpg/terraform-provider-proxmox中的一个安全问题,该问题源于文档中不安全的sudo使用建议。此问题可能导致攻击者利用不当配置提升权限。受影响的版本包括0.93.1之前的版本。建议用户尽快升级至0.93.1版本以缓解风险。
该漏洞的关键在于terraform-provider-proxmox文档中对sudo使用的不安全建议。如果用户遵循了文档中的建议,并且配置不当,攻击者可能能够利用此漏洞在Proxmox环境中提升权限。虽然该漏洞本身并非直接的代码缺陷,但它为攻击者提供了利用配置错误的机会,可能导致对Proxmox服务器的未经授权访问和控制。潜在影响包括数据泄露、系统破坏以及进一步的横向移动攻击。
目前尚未公开发现针对CVE-2026-25499的公开利用代码。该漏洞被评定为中等风险,表明其利用难度适中。该漏洞已添加到CISA KEV目录中,表明其具有潜在的重大影响。建议持续关注相关安全动态,并及时采取缓解措施。
Organizations utilizing Terraform to manage Proxmox environments are at risk. This includes DevOps teams, infrastructure engineers, and anyone responsible for configuring and maintaining Proxmox clusters. Specifically, those who have followed the documentation's sudo recommendations are most vulnerable.
disclosure
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
针对CVE-2026-25499,最有效的缓解措施是升级terraform-provider-proxmox至0.93.1版本或更高版本。在升级之前,建议备份terraform配置,以防升级过程中出现问题。如果升级导致配置中断,可以考虑回滚至之前的版本。此外,应仔细审查terraform配置,确保sudo的使用符合最佳安全实践,避免不必要的权限提升。建议定期审查terraform配置,并遵循Proxmox官方的安全指南。
Actualice el proveedor de Terraform para Proxmox a la versión 0.93.1 o superior. Esta versión corrige la configuración de sudo insegura en la documentación. Al actualizar, se previene la posibilidad de escapar del directorio y editar archivos arbitrarios en el sistema.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25499描述了terraform-provider-proxmox文档中不安全的sudo使用建议,可能导致权限提升。
如果您正在使用terraform-provider-proxmox的0.93.1之前的版本,则可能受到影响。
升级terraform-provider-proxmox至0.93.1版本或更高版本。
目前尚未公开发现针对CVE-2026-25499的公开利用代码,但建议持续关注安全动态。
请查阅terraform-provider-proxmox的官方GitHub仓库或Proxmox官方网站获取相关公告。
上传你的 go.mod 文件,立即知道是否受影响。