Plateforme
windows
Composant
cloudflare-warp
Corrigé dans
2024.12.492.0
La vulnérabilité CVE-2025-0651, classée comme Improper Privilege Management, affecte Cloudflare WARP sur Windows. Elle permet à un utilisateur disposant de privilèges système limités de manipuler des fichiers sensibles en créant des liens symboliques et en exploitant la fonction de réinitialisation des paramètres. Cette vulnérabilité touche les versions de WARP antérieures à 2024.12.492.0 et a été corrigée dans la version 2024.12.492.0.
Un attaquant peut exploiter cette vulnérabilité pour créer des liens symboliques dans le dossier C:\ProgramData\Cloudflare\warp-diag-partials. En déclenchant l'option « Réinitialiser tous les paramètres », le service WARP supprimera les fichiers pointés par ces liens symboliques. Étant donné que le service WARP s'exécute avec des privilèges Système, cela pourrait entraîner la suppression de fichiers appartenant à l'utilisateur Système, compromettant potentiellement l'intégrité du système d'exploitation. L'impact est significatif car il permet à un utilisateur non privilégié d'obtenir un contrôle indirect sur des fichiers critiques du système.
Cette vulnérabilité a été publiée le 22 janvier 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une interaction utilisateur pour déclencher la réinitialisation des paramètres. Elle n'est pas répertoriée sur le KEV de CISA.
Organizations and individuals using Cloudflare WARP on Windows are at risk. This includes users who have not yet updated to the latest version and those with legacy configurations that might be more susceptible to exploitation. Shared hosting environments where multiple users have access to the system are also at increased risk.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*WARP*'} | Select-Object TaskName, State• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*warp*'} | Select-Object ProcessName, Id• windows / supply-chain:
Check the registry for unusual entries under HKEYCURRENTUSER\Software\Cloudflare\WARP or HKEYLOCALMACHINE\Software\Cloudflare\WARP that might indicate malicious configuration.
• windows / supply-chain:
Use Windows Defender to search for suspicious processes or files related to WARP, particularly those creating symbolic links in the C:\ProgramData\Cloudflare\warp-diag-partials directory.
disclosure
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
La mitigation principale consiste à mettre à jour Cloudflare WARP vers la version 2024.12.492.0 ou ultérieure. En attendant la mise à jour, il n'existe pas de contournement direct pour empêcher la création de liens symboliques. Il est recommandé de surveiller l'intégrité du dossier C:\ProgramData\Cloudflare\warp-diag-partials et de limiter les privilèges des utilisateurs ayant accès à ce dossier. Après la mise à jour, vérifiez que la fonction de réinitialisation des paramètres ne supprime plus les fichiers inattendus.
Actualice Cloudflare WARP a una versión posterior a 2024.12.492.0. Esto solucionará la vulnerabilidad de manipulación de archivos causada por el abuso de enlaces simbólicos. La actualización se puede realizar a través del mecanismo de actualización automática del software o descargando la última versión del sitio web de Cloudflare.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-0651 is a File Manipulation vulnerability in Cloudflare WARP for Windows that allows low-privilege users to potentially delete system files by exploiting improper privilege management.
You are affected if you are using Cloudflare WARP on Windows versions prior to 2024.12.492.0.
Upgrade Cloudflare WARP to version 2024.12.492.0 or later to resolve this vulnerability.
As of now, there are no known public exploits or active campaigns targeting CVE-2025-0651.
Refer to the official Cloudflare security advisory for detailed information and updates regarding CVE-2025-0651.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.