Tenable Agent là thành phần quan trọng giúp triển khai kiểm thử lỗ hổng bảo mật cục bộ, được sử dụng rộng rãi trong nhiều môi trường doanh nghiệp.

Lỗ hổng thứ nhất có định danh CVE-2025-36631, cho phép người dùng không đặc quyền ghi đè tệp hệ thống bằng dữ liệu log, gây nguy cơ làm hỏng tệp, thay đổi cấu hình hoặc chèn mã độc. Lỗ hổng thứ 2 là CVE-2025-36632, đây là lỗ hổng nghiêm trọng nhất, cho phép thực thi mã độc và kiểm soát hoàn toàn hệ thống. Lỗ hổng cuối cùng là CVE-2025-36633, cho phép xóa các tệp hệ thống quan trọng, dẫn đến mất dữ liệu, vô hiệu hóa bảo mật hoặc gây bất ổn hệ thống

Các lỗ hổng ảnh hưởng đến tất cả phiên bản Tenable Agent trước 10.8.5 chạy trên Windows. Bản cập nhật 10.8.5 đã khắc phục hoàn toàn các lỗ hổng trên. Tenable khuyến cáo người dùng cập nhật càng sớm càng tốt để giảm thiểu rủi ro bị khai thác.

Mặc dù hiện chưa có thông tin về việc các lỗ hổng này đã bị khai thác trên thực tế, nhưng các lỗ hổng leo thang đặc quyền hệ thống từ người dùng cục bộ thường là mục tiêu phổ biến trong các chiến dịch tấn công nội bộ hoặc khai thác kết hợp với các lỗ hổng khác.