CRITICAL🇬🇧 English

CVE-2026-25769

RCE przez Deserialization w Wazuh — podatność klastra master/worker

CVSS 9.1v3.1pub. 2026-03-17upd. 2026-03-19

Wazuh w wersjach 4.0.0–4.14.2 zawiera krytyczną podatność klasy RCE wynikającą z deserializacji niezaufanych danych (CWE-502). Atakujący z dostępem do węzła worker może uzyskać pełne wykonanie kodu na węźle master z uprawnieniami root.

Pokaż oryginał (EN)

Wazuh is a free and open source platform used for threat prevention, detection, and response. Versions 4.0.0 through 4.14.2 have a Remote Code Execution (RCE) vulnerability due to Deserialization of Untrusted Data). All Wazuh deployments using cluster mode (master/worker architecture) and any organization with a compromised worker node (e.g., through initial access, insider threat, or supply chain attack) are impacted. An attacker who gains access to a worker node (through any means) can achieve full RCE on the master node with root privileges. Version 4.14.3 fixes the issue.

🤖 Analiza AI
Jak działa

Podatność występuje w implementacji komunikacji klastrowej (architektura master/worker). Gdy atakujący uzyska dostęp do węzła worker — np. poprzez initial access, insider threat lub atak na łańcuch dostaw — może wysyłać do węzła master spreparowane dane, które podlegają deserializacji bez odpowiedniej walidacji. Deserialization niezaufanych danych pozwala na wstrzyknięcie złośliwego obiektu, którego przetworzenie skutkuje wykonaniem dowolnego kodu po stronie master node z uprawnieniami root.

Skutki

Atakujący może uzyskać pełną kontrolę nad węzłem master Wazuh z uprawnieniami root, co w praktyce oznacza kompromitację całej infrastruktury monitorowania bezpieczeństwa oraz potencjalny lateral movement do środowisk zarządzanych przez platformę.

Mitygacja

Należy zaktualizować Wazuh do wersji 4.14.3, która zawiera poprawkę eliminującą podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do węzłów klastra oraz wzmożony monitoring integralności węzłów worker.

Kogo dotyczy

Wazuh w wersjach 4.0.0 do 4.14.2 działający w trybie klastrowym (architektura master/worker). Wszystkie wdrożenia korzystające z tego trybu są narażone.

Uwagi

Podatność wymaga uprzedniego uzyskania dostępu do węzła worker jako warunku wstępnego (PR:H w CVSS), jednak wektor S:C (Scope Changed) wskazuje na możliwość eskalacji wpływu poza granice kompromitowanego komponentu — do węzła master. Poprawka dostępna w wersji 4.14.3 zgodnie z oficjalnym advisory GitHub Security Advisories (GHSA-3gm7-962f-fxw5).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Wazuh

    APP
    Wazuh
    4.0.0 – 4.14.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2025-24016CRITICAL9.9⚠ KEVPL ✓ten sam produkt

Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI

CVE-2026-30893CRITICAL9.0PL ✓ten sam produkt

Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra

CVE-2026-25770CRITICAL9.1PL ✓ten sam produkt

Wazuh: privilege escalation do root przez cluster protocol (RCE)

CVE-2024-1243CRITICAL9.5PL ✓ten sam produkt

Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation

CVE-2024-32038CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel