Wazuh - CVE-2026-30893

Il s’agit d’une vulnérabilité de traversée de chemin dans la routine d’extraction de synchronisation de cluster, au sein de la fonction decompress_files() du fichier framework/wazuh/core/cluster/cluster.py.

Wazuh est une plateforme open-source de détection et de réponse aux menaces (XDR/SIEM). Elle collecte, agrège et analyse les données de sécurité provenant d'agents déployés sur les postes et serveurs d'une infrastructure. L'architecture en cluster permet la distribution de la charge entre un nœud maître et des nœuds travailleurs.

Les chemins de fichiers issus des archives sont passés directement à os.path.join() sans validation ni normalisation. Un pair de cluster malveillant peut injecter des chemins relatifs (../../...) ou des chemins absolus (/etc/...), ces derniers contournant totalement le répertoire de base. La fonction est utilisée lors des opérations normales (integrity_check, sync_worker_files, mises à jour master → workers), et les chemins étant entièrement contrôlés par le pair émetteur.

Cela permet l’écriture de fichiers arbitraires, l’écrasement de modules Python et une compromission complète du système, notamment si le service s’exécute avec des privilèges élevés (root, Docker).