Wazuh - CVE-2026-34150

Date de publication :

Il s'agit d'une vulnérabilité de dépassement de tampon en tas dans le composant wazuh-analysisd, au sein de la fonction W_JSON_ParseRootcheck du fichier json_extended.c.

Wazuh est une plateforme open source de détection et réponse aux menaces, utilisée pour la supervision de sécurité, la corrélation d'événements et la génération d'alertes SIEM. Le composant wazuh-analysisd constitue le moteur d'analyse central du gestionnaire Wazuh, chargé de traiter les événements remontés par les agents déployés sur le parc supervisé.

La configuration par défaut de l'image officielle wazuh/wazuh-docker active le paramètre use_password à no sur le service authd, permettant un enrôlement d'agent sans authentification et l'obtention d'un identifiant d'agent et d'une clé de chiffrement valides. Une fois cette clé obtenue, l'attaquant se connecte au service remoted via le protocole d'agent Wazuh, chiffré en Blowfish-CBC et compressé en zlib, puis injecte des événements rootcheck contenant des motifs dépassant 30 octets. Le dépassement corrompt la mémoire du tas et provoque l'arrêt du processus wazuh-analysisd, tandis que le tableau de bord et l'API du gestionnaire continuent d'afficher des données obsolètes sans signaler l'interruption.

Elle permet un déni de service à distance sans authentification, aboutissant à l'arrêt silencieux et complet du traitement des alertes de sécurité.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-122 : Heap-based Buffer Overflow

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

wazuh-manager versions 1.0.0 et antérieures jusqu'à 4.14.4 inclus

Contournement provisoire

Activer l'authentification par mot de passe des agents en configurant use_password à yes dans ossec.conf constitue un contournement viable si la mise à jour immédiate n'est pas possible.

Solutions ou recommandations

wazuh-manager versions 4.14.5 et supérieures