Podatność typu path traversal w mechanizmie synchronizacji klastra Wazuh pozwala uwierzytelnionemu węzłowi klastra na zapisywanie dowolnych plików poza zamierzonym katalogiem docelowym na innych węzłach. Może to prowadzić do wykonania dowolnego kodu (RCE) w kontekście usługi Wazuh, a w niektórych konfiguracjach do przejęcia kontroli nad systemem operacyjnym.
▸ Pokaż oryginał (EN)
Wazuh is a free and open source platform used for threat prevention, detection, and response. From version 4.4.0 to before version 4.14.4, a path traversal vulnerability in Wazuh's cluster synchronization extraction routine allows an authenticated cluster peer to write arbitrary files outside the intended extraction directory on other cluster nodes. This can be escalated to code execution in the Wazuh service context by overwriting Python modules loaded by Wazuh components (proof of concept available as separate attachment). In deployments where the cluster daemon runs with elevated privileges, system-level compromise is possible. This issue has been patched in version 4.14.4.
Luka tkwi w procedurze ekstrakcji plików podczas synchronizacji klastra Wazuh. Uwierzytelniony węzeł klastra (peer) może spreparować ścieżki plików zawierające sekwencje path traversal (np. '../'), co powoduje zapisanie plików poza zamierzonym katalogiem ekstrakcji na docelowych węzłach. Atakujący może w ten sposób nadpisać moduły Pythona ładowane przez komponenty Wazuh, co umożliwia wykonanie dowolnego kodu w kontekście usługi. W środowiskach, gdzie demon klastra działa z podwyższonymi uprawnieniami, możliwe jest przejęcie kontroli na poziomie systemu operacyjnego.
Atakujący może uzyskać możliwość wykonania dowolnego kodu (RCE) na węzłach klastra Wazuh, a w przypadku pracy demona z podwyższonymi uprawnieniami — pełne przejęcie kontroli nad systemem (privilege escalation do poziomu systemowego).
Należy zaktualizować Wazuh do wersji 4.14.4, w której problem został naprawiony. Patch dostępny jest w referencjach producenta: https://github.com/wazuh/wazuh/releases/tag/v4.14.4
Wazuh w wersjach od 4.4.0 do wcześniejszych niż 4.14.4
Według opisu producenta istnieje proof of concept (PoC) demonstrujący eskalację do RCE poprzez nadpisanie modułów Pythona — dołączony jako osobny załącznik do advisory. Podatność wymaga uwierzytelnienia jako węzeł klastra (PR:H), co ogranicza powierzchnię ataku do środowisk wielowęzłowych.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:HWazuh
APPWazuh4.4.0 – 4.14.4 (bez)
Powiązane podatności
Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI
Wazuh: privilege escalation do root przez cluster protocol (RCE)
RCE przez Deserialization w Wazuh — podatność klastra master/worker
Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation
Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel