Kritická zraniteľnosť Wazuh umožňuje vykonávať kód

Vývojári open-source SIEM a XDR platformy Wazuh vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. Táto umožňuje vzdialene vykonávať kód Python. Na uvedenú zraniteľnosť je dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Zraniteľné systémy:

• Wazuh 4.4.0 až 4.9.0

Opis činnosti:

CVE-2025-24016 (CVSS skóre 9,9)

Kritická zraniteľnosť spočíva v nezabezpečenej deserializácii objektov a umožňuje vzdialené vykonávanie kódu písaného v jazyku Python na zraniteľných serveroch Wazuh. Útočník môže zneužiť komponent DistributedAPI (DAPI) injektovaním dát do API požiadavky alebo odpovede. V určitých konfiguráciách môže na útok zneužiť kompromitovaného agenta.

Chyba sa nachádza v deserializačnej funkcii as_wazuh_object a podvrhnutím vhodne upravenej premennej typu dictinary do DAPI požiadavky alebo odpovede môže útočník vyvolať neošetrenú výnimku, čo povedie k vykonaniu ľubovoľného kódu v jazyku Python.

Na uvedenú zraniteľnosť je dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Možné škody:

• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Wazuh aspoň na verziu 4.9.1.

Odkazy:

• https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh
• https://securityvulnerability.io/vulnerability/CVE-2025-24016