Vulnerabilidad en monitorización de integridad de archivos (FIM) de Wazuh (CVE-2025-34294)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/10/2025
Última modificación:
30/10/2025
Descripción
La monitorización de integridad de archivos (FIM) de Wazuh, cuando se configura con eliminación automática de amenazas, contiene una condición de carrera (race condition) de tiempo de verificación/tiempo de uso (TOCTOU) que puede permitir a un atacante local con pocos privilegios hacer que el servicio de Wazuh (ejecutándose como NT AUTHORITY\SYSTEM) elimine archivos o rutas controlados por el atacante. La causa raíz es la sincronización insuficiente y la falta de una validación robusta de la ruta final en el flujo de trabajo de eliminación de amenazas: el agente registra una acción de respuesta activa y procede a realizar la eliminación sin garantizar que el objetivo de la eliminación sea el archivo originalmente previsto. Esto puede permitir la eliminación arbitraria de archivos o carpetas a nivel de SYSTEM y la consecuente escalada de privilegios local. Wazuh intentó una corrección a travéspull request 8697 el 10-07-2025, pero ese cambio fue incompleto.
Impacto
Puntuación base 4.0
7.10
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://documentation.wazuh.com/current/user-manual/capabilities/active-response/index.html
- https://github.com/wazuh/wazuh-documentation/pull/8697
- https://wazuh.com/blog/detecting-and-responding-to-malicious-files-using-cdb-lists-and-active-response/
- https://www.vulncheck.com/advisories/wazuh-file-integrity-monitoring-and-active-response-arbitrary-file-deletion-as-system