文件符号链接滥用可能导致删除 SYSTEM 用户拥有的文件

该漏洞允许攻击者利用低权限账户，通过创建符号链接，诱导 Cloudflare WARP 服务以系统权限删除文件。攻击者可能选择删除关键系统文件，导致系统崩溃、数据丢失或拒绝服务。由于 WARP 服务以系统权限运行，因此攻击的影响范围可能非常广泛，甚至可能影响整个系统。虽然目前尚未观察到该漏洞被大规模利用，但其潜在影响不容忽视，尤其是在共享主机环境中，多个用户可能共享同一系统资源。

Organizations and individuals using Cloudflare WARP on Windows are at risk. This includes users who have not yet updated to the latest version and those with legacy configurations that might be more susceptible to exploitation. Shared hosting environments where multiple users have access to the system are also at increased risk.

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*WARP*'} | Select-Object TaskName, State

• windows / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*warp*'} | Select-Object ProcessName, Id

• windows / supply-chain: Check the registry for unusual entries under HKEYCURRENTUSER\Software\Cloudflare\WARP or HKEYLOCALMACHINE\Software\Cloudflare\WARP that might indicate malicious configuration. • windows / supply-chain: Use Windows Defender to search for suspicious processes or files related to WARP, particularly those creating symbolic links in the C:\ProgramData\Cloudflare\warp-diag-partials directory.

1. 2025-01-22Disclosure

   disclosure

1. 已保留2025-01-22
2. 发布日期2025-01-22
3. 修改日期2025-02-12
4. EPSS 更新日期2026-04-02

为了缓解 CVE-2025-0651 的风险，建议立即升级到 Cloudflare WARP 版本 2024.12.492.0 或更高版本。如果无法立即升级，可以考虑限制对 C:\ProgramData\Cloudflare\warp-diag-partials 文件夹的访问权限，仅允许 WARP 服务账户进行写入操作。此外，可以实施文件完整性监控，检测任何未经授权的文件删除或修改行为。升级后，请验证 WARP 服务是否正常运行，并检查系统日志中是否存在异常事件。