Plataforma
windows
Componente
worktime
Corregido en
11.8.9
CVE-2025-15561 describe una vulnerabilidad de elevación de privilegios en WorkTime, un software de monitoreo. Un atacante puede explotar el comportamiento de actualización del demonio de monitoreo WorkTime para obtener privilegios de NT Authority\SYSTEM en el sistema local. Esta vulnerabilidad afecta a versiones de WorkTime hasta la 11.8.8 y se recomienda aplicar las actualizaciones de seguridad proporcionadas por el proveedor.
La explotación exitosa de esta vulnerabilidad permite a un atacante obtener control total sobre el sistema afectado. Al colocar un ejecutable malicioso (WTWatch.exe) en el directorio C:\ProgramData\wta\ClientExe, que es escribible por "Everyone", el demonio de monitoreo WorkTime lo ejecutará con los privilegios de SYSTEM. Esto permite al atacante ejecutar código arbitrario con los más altos privilegios del sistema, comprometiendo la confidencialidad, integridad y disponibilidad de los datos y recursos. El impacto es significativo, ya que el atacante puede instalar malware, robar datos sensibles, modificar la configuración del sistema y establecer una persistencia duradera.
La vulnerabilidad CVE-2025-15561 fue publicada el 19 de febrero de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la facilidad de explotación (requiere solo la colocación de un archivo en un directorio escribible) sugiere un riesgo moderado. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación. No se ha añadido a KEV al momento de la redacción.
Organizations using WorkTime for monitoring and management, particularly those with legacy configurations or shared hosting environments, are at risk. Systems where the C:\ProgramData\wta\ClientExe directory has overly permissive access controls are especially vulnerable. Environments with limited security monitoring or application whitelisting are also at increased risk.
• windows / supply-chain:
Get-ChildItem -Path "C:\ProgramData\wta\ClientExe" -Filter WTWatch.exe -Recurse• windows / supply-chain:
Get-Acl -Path "C:\ProgramData\wta\ClientExe"• windows / supply-chain:
Check Windows Defender for alerts related to suspicious processes running from C:\ProgramData\wta\ClientExe.
• windows / supply-chain:
Use Autoruns (Sysinternals) to check for any unusual entries related to WorkTime or WTWatch.exe.
disclosure
Estado del Exploit
EPSS
0.01% (3% percentil)
La mitigación principal es actualizar WorkTime a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos al directorio C:\ProgramData\wta\ClientExe, restringiendo el acceso de escritura solo a cuentas autorizadas. Además, se puede considerar la implementación de un sistema de detección de intrusiones (IDS) que monitoree la ejecución de WTWatch.exe y genere alertas en caso de actividad sospechosa. Verifique después de la actualización que el directorio C:\ProgramData\wta\ClientExe tenga permisos restrictivos.
Actualice WorkTime a una versión posterior a 11.8.8. Esto solucionará la vulnerabilidad de escalada de privilegios local.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15561 is a vulnerability in WorkTime versions up to 11.8.8 that allows an attacker to gain SYSTEM privileges by placing a malicious executable in a specific directory.
You are affected if you are using WorkTime version 11.8.8 or earlier. Check your installed version against the affected range to determine your risk.
Upgrade to a patched version of WorkTime as soon as it becomes available. Until then, restrict write access to the vulnerable directory and consider application whitelisting.
While no public exploits are currently known, the vulnerability's simplicity suggests a high likelihood of exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the WorkTime vendor's website and security advisory page for updates and official information regarding CVE-2025-15561.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.