CVE-2025-34294 in File Integrity Monitoringinfo

Zusammenfassung

von VulDB • 09.06.2026

Die File Integrity Monitoring (FIM)-Funktion von Wazuh weist bei Konfiguration mit automatischer Bedrohungsbeseitigung einen Time-of-Check/Time-of-Use-(TOCTOU)-Race Condition auf, der einem lokalen Angreifer mit geringen Berechtigungen ermöglichen kann, den Wazuh-Dienst (der als NT AUTHORITY\SYSTEM ausgeführt wird) dazu zu bringen, vom Angreifer kontrollierte Dateien oder Pfade zu löschen. Die Ursache liegt in einer unzureichenden Synchronisierung und dem Fehlen einer robusten Validierung des endgültigen Pfads im Workflow zur Bedrohungsbeseitigung: Der Agent protokolliert eine Active-Response-Aktion und führt die Löschung durch, ohne sicherzustellen, dass das Löschziel tatsächlich die ursprünglich beabsichtigte Datei ist. Dies kann zu willkürlichen System-Level-Löschungen von Dateien oder Ordnern führen und damit lokale Privilegienescalation zur Folge haben. Wazuh versuchte eine Korrektur über den Pull Request 8697 am 2025-07-10, doch diese Änderung war unvollständig.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

VulnCheck

Reservieren

15.04.2025

Veröffentlichung

28.10.2025

Moderieren

zurückgezogen

Eintrag

VDB-330319

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!