Plataforma
windows
Componente
cloudflare-warp
Corregido en
2024.12.492.0
La vulnerabilidad CVE-2025-0651, clasificada como Gestión Inadecuada de Privilegios, afecta a Cloudflare WARP en sistemas Windows. Un atacante con privilegios limitados puede crear enlaces simbólicos dentro de la carpeta C:\ProgramData\Cloudflare\warp-diag-partials. Al activar la opción 'Restablecer todas las configuraciones', el servicio WARP podría eliminar archivos críticos del sistema, comprometiendo la integridad del sistema operativo. Esta vulnerabilidad afecta a las versiones de WARP anteriores a 2024.12.492.0, y ya ha sido resuelta.
Esta vulnerabilidad permite a un usuario con privilegios bajos manipular archivos del sistema. El atacante crea enlaces simbólicos dentro de la carpeta de diagnóstico de WARP. Al restablecer la configuración, el servicio WARP, que opera con privilegios de sistema, elimina los archivos a los que apuntan estos enlaces simbólicos. Esto podría resultar en la eliminación de archivos esenciales del sistema operativo, causando inestabilidad, pérdida de datos o incluso la imposibilidad de arrancar el sistema. La severidad de este problema radica en la escalada de privilegios que permite, ya que un usuario limitado puede afectar a componentes críticos del sistema con privilegios elevados.
La vulnerabilidad fue publicada el 22 de enero de 2025. No se ha reportado su explotación activa en campañas conocidas. No se ha añadido a la lista KEV de CISA. No existen pruebas públicas de concepto (PoC) disponibles en el momento de la redacción, lo que sugiere un riesgo de explotación relativamente bajo, aunque la posibilidad no puede descartarse.
Organizations and individuals using Cloudflare WARP on Windows are at risk. This includes users who have not yet updated to the latest version and those with legacy configurations that might be more susceptible to exploitation. Shared hosting environments where multiple users have access to the system are also at increased risk.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*WARP*'} | Select-Object TaskName, State• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*warp*'} | Select-Object ProcessName, Id• windows / supply-chain:
Check the registry for unusual entries under HKEYCURRENTUSER\Software\Cloudflare\WARP or HKEYLOCALMACHINE\Software\Cloudflare\WARP that might indicate malicious configuration.
• windows / supply-chain:
Use Windows Defender to search for suspicious processes or files related to WARP, particularly those creating symbolic links in the C:\ProgramData\Cloudflare\warp-diag-partials directory.
disclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
La mitigación principal para CVE-2025-0651 es actualizar Cloudflare WARP a la versión 2024.12.492.0 o posterior. Si la actualización causa problemas de compatibilidad, se recomienda contactar con el soporte de Cloudflare para obtener asistencia. Como medida temporal, se podría restringir el acceso de escritura a la carpeta C:\ProgramData\Cloudflare\warp-diag-partials a través de permisos de sistema operativo, aunque esto podría afectar a la funcionalidad normal de WARP. Después de la actualización, confirme que la versión instalada es la 2024.12.492.0 o superior.
Actualice Cloudflare WARP a una versión posterior a 2024.12.492.0. Esto solucionará la vulnerabilidad de manipulación de archivos causada por el abuso de enlaces simbólicos. La actualización se puede realizar a través del mecanismo de actualización automática del software o descargando la última versión del sitio web de Cloudflare.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0651 is a File Manipulation vulnerability in Cloudflare WARP for Windows that allows low-privilege users to potentially delete system files by exploiting improper privilege management.
You are affected if you are using Cloudflare WARP on Windows versions prior to 2024.12.492.0.
Upgrade Cloudflare WARP to version 2024.12.492.0 or later to resolve this vulnerability.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-0651.
Refer to the official Cloudflare security advisory for detailed information and updates regarding CVE-2025-0651.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.