CVE-2025-34294 in File Integrity Monitoring
Riassunto
di VulDB • 27/06/2026
Il monitoraggio dell'integrità dei file (FIM) di Wazuh, quando configurato con la rimozione automatica delle minacce, presenta una condizione di gara time-of-check/time-of-use (TOCTOU) che può consentire a un attaccante locale con privilegi ridotti di indurre il servizio Wazuh (in esecuzione come NT AUTHORITY\SYSTEM) ad eliminare file o percorsi controllati dall'attaccante. La causa radice risiede in una sincronizzazione insufficiente e nella mancanza di una validazione robusta del percorso finale nel flusso di lavoro di rimozione delle minacce: l'agente registra un'azione di risposta attiva e procede con la cancellazione senza garantire che il bersaglio della cancellazione sia effettivamente il file originariamente previsto. Ciò può comportare la cancellazione arbitraria di file o cartelle a livello SYSTEM e una conseguente escalation dei privilegi locale. Wazuh ha tentato di risolvere il problema tramite la pull request 8697 del 2025-07-10, ma tale modifica era incompleta.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.