CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-24016

Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI

CVSS 9.9v3.1pub. 2025-02-10upd. 2025-10-24

Podatność w platformie Wazuh (wersje 4.4.0–4.9.0) umożliwia zdalne wykonanie kodu (RCE) na serwerze Wazuh poprzez niebezpieczną deserializację parametrów DistributedAPI. Jest aktywnie wykorzystywana przez atakujących, co czyni ją zagrożeniem najwyższego priorytetu.

Pokaż oryginał (EN)

Wazuh is a free and open source platform used for threat prevention, detection, and response. Starting in version 4.4.0 and prior to version 4.9.1, an unsafe deserialization vulnerability allows for remote code execution on Wazuh servers. DistributedAPI parameters are a serialized as JSON and deserialized using `as_wazuh_object` (in `framework/wazuh/core/cluster/common.py`). If an attacker manages to inject an unsanitized dictionary in DAPI request/response, they can forge an unhandled exception (`__unhandled_exc__`) to evaluate arbitrary python code. The vulnerability can be triggered by anybody with API access (compromised dashboard or Wazuh servers in the cluster) or, in certain configurations, even by a compromised agent. Version 4.9.1 contains a fix.

🤖 Analiza AI
Jak działa

Parametry DistributedAPI (DAPI) są serializowane jako JSON i deserializowane za pomocą funkcji `as_wazuh_object` w pliku `framework/wazuh/core/cluster/common.py`. Atakujący, który zdoła wstrzyknąć niezweryfikowany słownik do żądania lub odpowiedzi DAPI, może spreparować nieobsłużony wyjątek (`__unhandled_exc__`), który podczas deserializacji prowadzi do wykonania dowolnego kodu Python. Podatność może być wywołana przez każdą osobę posiadającą dostęp do API (np. poprzez skompromitowany dashboard lub inny serwer Wazuh w klastrze), a w niektórych konfiguracjach również przez skompromitowanego agenta.

Skutki

Atakujący może zdalnie wykonać dowolny kod na serwerze Wazuh z uprawnieniami procesu, co w praktyce oznacza pełne przejęcie kontroli nad serwerem, możliwość naruszenia poufności danych, integralności systemu oraz jego dostępności.

Mitygacja

Należy pilnie zaktualizować Wazuh do wersji 4.9.1, która zawiera poprawkę eliminującą podatność. Zgodnie z referencjami producenta: https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh

Kogo dotyczy

Wazuh w wersjach od 4.4.0 do 4.9.0 (przed wersją 4.9.1)

Uwagi

Podatność jest wpisana do katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Wektor ataku obejmuje również skompromitowanych agentów Wazuh w określonych konfiguracjach, co rozszerza powierzchnię ataku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
  • Wazuh

    APP
    Wazuh
    4.4.0 – 4.9.1 (bez)

CISA KEV — szczegółyi

Dostawcai
Wazuh
Produkti
Wazuh Server
Data dodania do KEVi
10 czerwca 2025
Termin remediation (USA)i
1 lipca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z obowiązującym wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Wazuh zawiera lukę polegającą na deserializacji niezaufanych danych, która umożliwia RCE na serwerach Wazuh.

tłumaczenie AI
Pokaż oryginał (EN)

Wazuh contains a deserialization of untrusted data vulnerability that allows for remote code execution on Wazuh servers.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 1 lipca 2025
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-30893CRITICAL9.0PL ✓ten sam produkt

Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra

CVE-2026-25770CRITICAL9.1PL ✓ten sam produkt

Wazuh: privilege escalation do root przez cluster protocol (RCE)

CVE-2026-25769CRITICAL9.1PL ✓ten sam produkt

RCE przez Deserialization w Wazuh — podatność klastra master/worker

CVE-2024-1243CRITICAL9.5PL ✓ten sam produkt

Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation

CVE-2024-32038CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel