Vulnerabilidad en Velociraptor (CVE-2025-6264)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/06/2025

Última modificación:

23/06/2025

Descripción

Velociraptor permite la recopilación de consultas VQL empaquetadas en artefactos desde los endpoints. Estos artefactos pueden usarse para cualquier función y suelen ejecutarse con permisos elevados. Para limitar el acceso a artefactos peligrosos, Velociraptor permite que estos requieran permisos elevados, como EXECVE, para su ejecución. Admin.Client.UpdateClientConfig es un artefacto utilizado para actualizar la configuración del cliente. Este artefacto no impuso un permiso adicional requerido, lo que permitió a los usuarios con permisos COLLECT_CLIENT (normalmente otorgados por el rol "Investigador") recopilarlos desde los endpoints y actualizar la configuración. Esto puede provocar la ejecución arbitraria de comandos y la toma de control del endpoint. Para explotar esta vulnerabilidad con éxito, el usuario debe tener acceso para recopilar artefactos desde el endpoint (es decir, tener el permiso COLLECT_CLIENT, normalmente otorgado por el rol "Investigador").

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.50

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://docs.velociraptor.app/announcements/advisories/cve-2025-6264/