CVE-2025-34294

Nome do Software Vulnerável e Versões Afetadas Wazuh (versões afetadas não especificadas)

Descrição Existe uma condição de corrida time-of-check/time-of-use (TOCTOU) no componente de Monitoramento de Integridade de Arquivos (FIM) quando a remoção automática de ameaças está habilitada. Isso pode permitir que um atacante local com baixos privilégios faça com que o serviço Wazuh, executando com privilégios de SYSTEM, exclua arquivos ou caminhos controlados pelo atacante. O problema decorre de sincronização insuficiente e falta de validação do caminho final durante o processo de remoção de ameaças. Especificamente, o agente registra uma ação de remoção de ameaça e prossegue com a exclusão sem verificar se o alvo da exclusão permanece sendo o arquivo originalmente pretendido. Isso pode levar à exclusão arbitrária de arquivos ou pastas no nível de SYSTEM, potencialmente resultando em escalonação de privilégio local. Uma tentativa de correção foi feita via pull request 8697 em 10/07/2025, mas foi incompleta.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.