Platform
windows
Component
worktime
Opgelost in
11.8.9
CVE-2025-15561 beschrijft een Privilege Escalation kwetsbaarheid in WorkTime, een monitoring daemon. Een aanvaller kan deze kwetsbaarheid misbruiken om privileges te verhogen tot NT Authority\SYSTEM, wat volledige controle over het systeem mogelijk maakt. Deze kwetsbaarheid treft versies van WorkTime tot en met 11.8.8. Een oplossing is beschikbaar in een recentere, gepatchte versie.
Deze kwetsbaarheid stelt aanvallers in staat om, met de juiste voorwaarden, de controle over een systeem over te nemen. Door een kwaadaardig bestand, WTWatch.exe, in een specifieke map (C:\ProgramData\wta\ClientExe) te plaatsen, kan de WorkTime monitoring daemon dit bestand uitvoeren met de hoogste privileges (NT Authority\SYSTEM). Dit betekent dat de aanvaller in staat is om willekeurige code uit te voeren, data te wijzigen, en toegang te krijgen tot gevoelige informatie. De impact is aanzienlijk, aangezien de aanvaller de volledige controle over het systeem kan overnemen en mogelijk ook toegang kan krijgen tot andere systemen binnen het netwerk.
Er is momenteel geen publieke exploitatie bevestigd, maar de kwetsbaarheid is relatief eenvoudig te exploiteren, wat het risico verhoogt. De kwetsbaarheid is openbaar gemaakt op 2026-02-19. De EPSS score is nog niet bekend, maar gezien de eenvoud van de exploitatie en de potentieel hoge impact, is een medium tot hoge score waarschijnlijk. Het is aan te raden om deze kwetsbaarheid serieus te nemen en onmiddellijk maatregelen te treffen.
Organizations using WorkTime for monitoring and management, particularly those with legacy configurations or shared hosting environments, are at risk. Systems where the C:\ProgramData\wta\ClientExe directory has overly permissive access controls are especially vulnerable. Environments with limited security monitoring or application whitelisting are also at increased risk.
• windows / supply-chain:
Get-ChildItem -Path "C:\ProgramData\wta\ClientExe" -Filter WTWatch.exe -Recurse• windows / supply-chain:
Get-Acl -Path "C:\ProgramData\wta\ClientExe"• windows / supply-chain:
Check Windows Defender for alerts related to suspicious processes running from C:\ProgramData\wta\ClientExe.
• windows / supply-chain:
Use Autoruns (Sysinternals) to check for any unusual entries related to WorkTime or WTWatch.exe.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
De primaire mitigatie is het upgraden naar een versie van WorkTime die deze kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, kan men proberen de schrijfrechten voor de C:\ProgramData\wta\ClientExe map te beperken tot alleen de WorkTime service account. Dit voorkomt dat kwaadwillenden bestanden in deze map kunnen plaatsen. Daarnaast kan het implementeren van een WAF (Web Application Firewall) of proxy helpen bij het detecteren en blokkeren van verdachte activiteiten. Controleer de WorkTime logs op ongebruikelijke procesaanvragen of bestandsuitvoeringen.
Werk WorkTime bij naar een versie later dan 11.8.8. Dit zal de lokale privileges escalatie kwetsbaarheid oplossen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-15561 is a vulnerability in WorkTime versions up to 11.8.8 that allows an attacker to gain SYSTEM privileges by placing a malicious executable in a specific directory.
You are affected if you are using WorkTime version 11.8.8 or earlier. Check your installed version against the affected range to determine your risk.
Upgrade to a patched version of WorkTime as soon as it becomes available. Until then, restrict write access to the vulnerable directory and consider application whitelisting.
While no public exploits are currently known, the vulnerability's simplicity suggests a high likelihood of exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the WorkTime vendor's website and security advisory page for updates and official information regarding CVE-2025-15561.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.