CRITICAL🇬🇧 English

CVE-2026-30893

Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra

CVSS 9.0v3.1pub. 2026-04-29upd. 2026-04-30

Podatność typu path traversal w mechanizmie synchronizacji klastra Wazuh pozwala uwierzytelnionemu węzłowi klastra na zapisywanie dowolnych plików poza zamierzonym katalogiem docelowym na innych węzłach. Może to prowadzić do wykonania dowolnego kodu (RCE) w kontekście usługi Wazuh, a w niektórych konfiguracjach do przejęcia kontroli nad systemem operacyjnym.

Pokaż oryginał (EN)

Wazuh is a free and open source platform used for threat prevention, detection, and response. From version 4.4.0 to before version 4.14.4, a path traversal vulnerability in Wazuh's cluster synchronization extraction routine allows an authenticated cluster peer to write arbitrary files outside the intended extraction directory on other cluster nodes. This can be escalated to code execution in the Wazuh service context by overwriting Python modules loaded by Wazuh components (proof of concept available as separate attachment). In deployments where the cluster daemon runs with elevated privileges, system-level compromise is possible. This issue has been patched in version 4.14.4.

🤖 Analiza AI
Jak działa

Luka tkwi w procedurze ekstrakcji plików podczas synchronizacji klastra Wazuh. Uwierzytelniony węzeł klastra (peer) może spreparować ścieżki plików zawierające sekwencje path traversal (np. '../'), co powoduje zapisanie plików poza zamierzonym katalogiem ekstrakcji na docelowych węzłach. Atakujący może w ten sposób nadpisać moduły Pythona ładowane przez komponenty Wazuh, co umożliwia wykonanie dowolnego kodu w kontekście usługi. W środowiskach, gdzie demon klastra działa z podwyższonymi uprawnieniami, możliwe jest przejęcie kontroli na poziomie systemu operacyjnego.

Skutki

Atakujący może uzyskać możliwość wykonania dowolnego kodu (RCE) na węzłach klastra Wazuh, a w przypadku pracy demona z podwyższonymi uprawnieniami — pełne przejęcie kontroli nad systemem (privilege escalation do poziomu systemowego).

Mitygacja

Należy zaktualizować Wazuh do wersji 4.14.4, w której problem został naprawiony. Patch dostępny jest w referencjach producenta: https://github.com/wazuh/wazuh/releases/tag/v4.14.4

Kogo dotyczy

Wazuh w wersjach od 4.4.0 do wcześniejszych niż 4.14.4

Uwagi

Według opisu producenta istnieje proof of concept (PoC) demonstrujący eskalację do RCE poprzez nadpisanie modułów Pythona — dołączony jako osobny załącznik do advisory. Podatność wymaga uwierzytelnienia jako węzeł klastra (PR:H), co ogranicza powierzchnię ataku do środowisk wielowęzłowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:H
  • Wazuh

    APP
    Wazuh
    4.4.0 – 4.14.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-24016CRITICAL9.9⚠ KEVPL ✓ten sam produkt

Wazuh: RCE przez niebezpieczną deserializację w DistributedAPI

CVE-2026-25770CRITICAL9.1PL ✓ten sam produkt

Wazuh: privilege escalation do root przez cluster protocol (RCE)

CVE-2026-25769CRITICAL9.1PL ✓ten sam produkt

RCE przez Deserialization w Wazuh — podatność klastra master/worker

CVE-2024-1243CRITICAL9.5PL ✓ten sam produkt

Wazuh Agent (Windows): wyciek hash NetNTLMv2 umożliwiający RCE i privilege escalation

CVE-2024-32038CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w Wazuh Manager przy obsłudze znaków Unicode z Windows Eventchannel

CVE-2026-30893 — Path Traversal w Wazuh umożliwiający RCE poprzez synchronizację klastra — CRITICAL 9.0 | CVEbaza.pl