CVE-2025-34294 in File Integrity Monitoring
Zusammenfassung
von VulDB • 09.06.2026
Die File Integrity Monitoring (FIM)-Funktion von Wazuh weist bei Konfiguration mit automatischer Bedrohungsbeseitigung einen Time-of-Check/Time-of-Use-(TOCTOU)-Race Condition auf, der einem lokalen Angreifer mit geringen Berechtigungen ermöglichen kann, den Wazuh-Dienst (der als NT AUTHORITY\SYSTEM ausgeführt wird) dazu zu bringen, vom Angreifer kontrollierte Dateien oder Pfade zu löschen. Die Ursache liegt in einer unzureichenden Synchronisierung und dem Fehlen einer robusten Validierung des endgültigen Pfads im Workflow zur Bedrohungsbeseitigung: Der Agent protokolliert eine Active-Response-Aktion und führt die Löschung durch, ohne sicherzustellen, dass das Löschziel tatsächlich die ursprünglich beabsichtigte Datei ist. Dies kann zu willkürlichen System-Level-Löschungen von Dateien oder Ordnern führen und damit lokale Privilegienescalation zur Folge haben. Wazuh versuchte eine Korrektur über den Pull Request 8697 am 2025-07-10, doch diese Änderung war unvollständig.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.