CVE-2025-34294

Wazuh's File Integrity Monitoring (FIM), when configured with automatic threat removal, contains a time-of-check/time-of-use (TOCTOU) race condition that can allow a local, low-privileged attacker to cause the Wazuh service (running as NT AUTHORITY\SYSTEM) to delete attacker-controlled files or paths. The root cause is insufficient synchronization and lack of robust final-path validation in the threat-removal workflow: the agent records an active-response action and proceeds to perform deletion without guaranteeing the deletion target is the originally intended file. This can result in SYSTEM-level arbitrary file or folder deletion and consequent local privilege escalation. Wazuh made an attempted fix via pull request 8697 on 2025-07-10, but that change was incomplete.

CVSS

No CVSS.

References

Link	Resource
https://documentation.wazuh.com/current/user-manual/capabilities/active-response/index.html
https://github.com/wazuh/wazuh-documentation/pull/8697
https://wazuh.com/blog/detecting-and-responding-to-malicious-files-using-cdb-lists-and-active-response/
https://www.vulncheck.com/advisories/wazuh-file-integrity-monitoring-and-active-response-arbitrary-file-deletion-as-system

Configurations

No configuration.

History

30 Oct 2025, 15:05

Type	Values Removed	Values Added
Summary		(es) La monitorización de integridad de archivos (FIM) de Wazuh, cuando se configura con eliminación automática de amenazas, contiene una condición de carrera (race condition) de tiempo de verificación/tiempo de uso (TOCTOU) que puede permitir a un atacante local con pocos privilegios hacer que el servicio de Wazuh (ejecutándose como NT AUTHORITY\SYSTEM) elimine archivos o rutas controlados por el atacante. La causa raíz es la sincronización insuficiente y la falta de una validación robusta de la ruta final en el flujo de trabajo de eliminación de amenazas: el agente registra una acción de respuesta activa y procede a realizar la eliminación sin garantizar que el objetivo de la eliminación sea el archivo originalmente previsto. Esto puede permitir la eliminación arbitraria de archivos o carpetas a nivel de SYSTEM y la consecuente escalada de privilegios local. Wazuh intentó una corrección a travéspull request 8697 el 10-07-2025, pero ese cambio fue incompleto.

28 Oct 2025, 16:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-10-28 16:15

Updated : 2025-10-30 15:05

NVD link : CVE-2025-34294

Mitre link : CVE-2025-34294

CVE.ORG link : CVE-2025-34294

JSON object : View

Products Affected

No product.

CWE

CWE-367

Time-of-check Time-of-use (TOCTOU) Race Condition

JSON object

Attach tags to CVE-2025-34294

Attach tags to `CVE-2025-34294`