CRITICAL🇬🇧 English

CVE-2026-25770

Wazuh: privilege escalation do root przez cluster protocol (RCE)

CVSS 9.1v3.1pub. 2026-03-17upd. 2026-03-19

Podatność w protokole synchronizacji klastra Wazuh Manager umożliwia uwierzytelnionemu węzłowi klastra przejęcie pełnej kontroli nad systemem z uprawnieniami root. Błąd wynika z niebezpiecznych domyślnych uprawnień pliku konfiguracyjnego oraz braku walidacji zapisywanych plików, co prowadzi do zdalnego wykonania kodu.

Pokaż oryginał (EN)

Wazuh is a free and open source platform used for threat prevention, detection, and response. Starting in version 3.9.0 and prior to version 4.14.3, a privilege escalation vulnerability exists in the Wazuh Manager's cluster synchronization protocol. The `wazuh-clusterd` service allows authenticated nodes to write arbitrary files to the manager’s file system with the permissions of the `wazuh` system user. Due to insecure default permissions, the `wazuh` user has write access to the manager's main configuration file (`/var/ossec/etc/ossec.conf`). By leveraging the cluster protocol to overwrite `ossec.conf`, an attacker can inject a malicious `<localfile>` command block. The `wazuh-logcollector` service, which runs as root, parses this configuration and executes the injected command. This chain allows an attacker with cluster credentials to gain full Root Remote Code Execution, violating the principle of least privilege and bypassing the intended security model. Version 4.14.3 fixes the issue.

🤖 Analiza AI
Jak działa

Usługa `wazuh-clusterd` pozwala uwierzytelnionym węzłom klastra na zapis dowolnych plików w systemie plików menedżera z uprawnieniami użytkownika systemowego `wazuh`. Ponieważ użytkownik `wazuh` ma domyślnie prawo zapisu do głównego pliku konfiguracyjnego `/var/ossec/etc/ossec.conf`, atakujący może nadpisać ten plik, wstrzykując złośliwy blok `<localfile>` z dowolnym poleceniem systemowym. Usługa `wazuh-logcollector`, działająca z uprawnieniami root, przetwarza zmodyfikowaną konfigurację i wykonuje wstrzyknięte polecenie. Efektem jest eskalacja uprawnień od poziomu węzła klastra do pełnego dostępu root na serwerze zarządzającym (path traversal + privilege escalation + RCE).

Skutki

Atakujący posiadający dane uwierzytelniające do klastra Wazuh może uzyskać pełny zdalny dostęp z uprawnieniami root do serwera Wazuh Manager, co umożliwia przejęcie kontroli nad całą infrastrukturą bezpieczeństwa, modyfikację lub wyłączenie monitoringu oraz dalsze działania w sieci wewnętrznej.

Mitygacja

Należy zaktualizować Wazuh do wersji 4.14.3, która eliminuje podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do portów klastra Wazuh wyłącznie do zaufanych węzłów oraz weryfikację uprawnień pliku `/var/ossec/etc/ossec.conf` (powinien być chroniony przed zapisem przez użytkownika `wazuh`).

Kogo dotyczy

Wazuh Manager w wersjach od 3.9.0 do 4.14.2 (włącznie); podatność dotyczy środowisk z włączoną funkcją synchronizacji klastra (`wazuh-clusterd`).

Uwagi

Podatność naprawiona w wersji 4.14.3. Szczegóły techniczne opublikowane w oficjalnym security advisory GitHub: GHSA-r4f7-v3p6-79jm.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Wazuh

    APP
    Wazuh
    3.9.0 – 4.14.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCELPEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-24016CRITICAL9.9⚠ KEVPL ✓ten sam produkt

Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI

CVE-2026-30893CRITICAL9.0PL ✓ten sam produkt

Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra

CVE-2026-25769CRITICAL9.1PL ✓ten sam produkt

RCE przez Deserialization w Wazuh — podatność klastra master/worker

CVE-2024-1243CRITICAL9.5PL ✓ten sam produkt

Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation

CVE-2024-32038CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel

CVE-2026-25770 — Wazuh: privilege escalation do root przez cluster protocol (RCE) — CRITICAL 9.1 | CVEbaza.pl