Podatność w platformie Wazuh (wersje 4.4.0–4.9.0) umożliwia zdalne wykonanie kodu (RCE) na serwerze Wazuh poprzez niebezpieczną deserializację parametrów DistributedAPI. Jest aktywnie wykorzystywana przez atakujących, co czyni ją zagrożeniem najwyższego priorytetu.
▸ Pokaż oryginał (EN)
Wazuh is a free and open source platform used for threat prevention, detection, and response. Starting in version 4.4.0 and prior to version 4.9.1, an unsafe deserialization vulnerability allows for remote code execution on Wazuh servers. DistributedAPI parameters are a serialized as JSON and deserialized using `as_wazuh_object` (in `framework/wazuh/core/cluster/common.py`). If an attacker manages to inject an unsanitized dictionary in DAPI request/response, they can forge an unhandled exception (`__unhandled_exc__`) to evaluate arbitrary python code. The vulnerability can be triggered by anybody with API access (compromised dashboard or Wazuh servers in the cluster) or, in certain configurations, even by a compromised agent. Version 4.9.1 contains a fix.
Parametry DistributedAPI (DAPI) są serializowane jako JSON i deserializowane za pomocą funkcji `as_wazuh_object` w pliku `framework/wazuh/core/cluster/common.py`. Atakujący, który zdoła wstrzyknąć niezweryfikowany słownik do żądania lub odpowiedzi DAPI, może spreparować nieobsłużony wyjątek (`__unhandled_exc__`), który podczas deserializacji prowadzi do wykonania dowolnego kodu Python. Podatność może być wywołana przez każdą osobę posiadającą dostęp do API (np. poprzez skompromitowany dashboard lub inny serwer Wazuh w klastrze), a w niektórych konfiguracjach również przez skompromitowanego agenta.
Atakujący może zdalnie wykonać dowolny kod na serwerze Wazuh z uprawnieniami procesu, co w praktyce oznacza pełne przejęcie kontroli nad serwerem, możliwość naruszenia poufności danych, integralności systemu oraz jego dostępności.
Należy pilnie zaktualizować Wazuh do wersji 4.9.1, która zawiera poprawkę eliminującą podatność. Zgodnie z referencjami producenta: https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh
Wazuh w wersjach od 4.4.0 do 4.9.0 (przed wersją 4.9.1)
Podatność jest wpisana do katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Wektor ataku obejmuje również skompromitowanych agentów Wazuh w określonych konfiguracjach, co rozszerza powierzchnię ataku.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:HWazuh
APPWazuh4.4.0 – 4.9.1 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Wazuh
- Produkti
- Wazuh Server
- Data dodania do KEVi
- 10 czerwca 2025
- Termin remediation (USA)i
- 1 lipca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z obowiązującym wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Wazuh zawiera lukę polegającą na deserializacji niezaufanych danych, która umożliwia RCE na serwerach Wazuh.
▸ Pokaż oryginał (EN)
Wazuh contains a deserialization of untrusted data vulnerability that allows for remote code execution on Wazuh servers.
Powiązane podatności
Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra
Wazuh: privilege escalation do root przez cluster protocol (RCE)
RCE przez Deserialization w Wazuh — podatność klastra master/worker
Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation
Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel