Vulnerabilidad en Cloudflare WARP (CVE-2025-0651)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

22/01/2025

Última modificación:

22/01/2025

Descripción

La vulnerabilidad de administración de privilegios incorrecta en Cloudflare WARP en Windows permite la manipulación de archivos. El usuario con privilegios de sistema bajos puede crear un conjunto de enlaces simbólicos dentro de la carpeta C:\ProgramData\Cloudflare\warp-diag-partials. Después de activar la opción "Restablecer todas las configuraciones", el servicio WARP eliminará los archivos a los que apuntaba el enlace simbólico. Dado que el servicio WARP opera con privilegios de System, esto podría provocar la eliminación de archivos propiedad del usuario de System. Este problema afecta a WARP: antes de 2024.12.492.0.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:A/VC:L/VI:H/VA:H/SC:H/SI:H/SA:H/S:N/R:U/RE:L/U:Green CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:A/VC:L/VI:H/VA:H/SC:H/SI:H/SA:H/S:N/R:U/RE:L/U:Green

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Activo
Confidentiality (VC): Bajo
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Safety (S): Negligible
Recovery (R): Usuario
Vulnerability Response Effort (RE): Bajo
Provider Urgency (U): Verde

Puntuación base 4.0

6.10

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://developers.cloudflare.com/warp-client/