Wazuh - CVE-2026-34150
Date de publication :
Il s'agit d'une vulnérabilité de dépassement de tampon en tas dans le composant wazuh-analysisd, au sein de la fonction W_JSON_ParseRootcheck du fichier json_extended.c.
Wazuh est une plateforme open source de détection et réponse aux menaces, utilisée pour la supervision de sécurité, la corrélation d'événements et la génération d'alertes SIEM. Le composant wazuh-analysisd constitue le moteur d'analyse central du gestionnaire Wazuh, chargé de traiter les événements remontés par les agents déployés sur le parc supervisé.
La configuration par défaut de l'image officielle wazuh/wazuh-docker active le paramètre use_password à no sur le service authd, permettant un enrôlement d'agent sans authentification et l'obtention d'un identifiant d'agent et d'une clé de chiffrement valides. Une fois cette clé obtenue, l'attaquant se connecte au service remoted via le protocole d'agent Wazuh, chiffré en Blowfish-CBC et compressé en zlib, puis injecte des événements rootcheck contenant des motifs dépassant 30 octets. Le dépassement corrompt la mémoire du tas et provoque l'arrêt du processus wazuh-analysisd, tandis que le tableau de bord et l'API du gestionnaire continuent d'afficher des données obsolètes sans signaler l'interruption.
Elle permet un déni de service à distance sans authentification, aboutissant à l'arrêt silencieux et complet du traitement des alertes de sécurité.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Déni de service (à distance)
Exploitation
CWE-122 : Heap-based Buffer Overflow
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
wazuh-manager versions 1.0.0 et antérieures jusqu'à 4.14.4 inclus