Kostenlos scannen
Analyse ausstehendCVE-2026-28221

CVE-2026-28221: Buffer Overflow in Wazuh 4.8.0-4.14.3

Plattform

linux

Komponente

wazuh

Behoben in

4.14.4

Auf NVD ansehen
Speichern

CVE-2026-28221 affects Wazuh versions 4.8.0 through 4.14.3. This vulnerability is a stack-based buffer overflow located in the printhexstring() function within the wazuh-remoted component. The overflow is triggered when an attacker provides carefully crafted input that causes sprintf to write beyond the allocated buffer, potentially leading to a denial of service or, in some scenarios, arbitrary code execution.

Auswirkungen und Angriffsszenarien

The primary impact of CVE-2026-28221 is a denial-of-service (DoS) condition. An attacker can trigger the buffer overflow by sending specially crafted input to the Wazuh agent, causing the wazuh-remoted process to crash. The vulnerability’s exploitation is dependent on the platform's interpretation of char as a signed type, which can lead to sign-extension issues during formatting. While arbitrary code execution is theoretically possible, it is less likely and would require further exploitation beyond the initial buffer overflow. The blast radius encompasses Wazuh agents and the central Wazuh manager, potentially disrupting threat detection and response capabilities.

Ausnutzungskontext

CVE-2026-28221 was published on 2026-04-29. The CVSS score is 6.5 (MEDIUM). Currently, there are no publicly known exploits or active campaigns targeting this vulnerability. The vulnerability's reliance on specific platform behavior (signed char) may limit its widespread exploitability. No KEV or EPSS score is currently available.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.07% (21% Perzentil)

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L6.5MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponentewazuh
Herstellerwazuh
Mindestversion4.8.0
Höchstversion>= 4.8.0, < 4.14.4
Behoben in4.14.4

Schwachstellen-Klassifikation (CWE)

CWE-121CWE-400

Zeitleiste

  1. Veröffentlicht
  2. EPSS aktualisiert

Mitigation und Workarounds

The recommended mitigation for CVE-2026-28221 is to upgrade Wazuh to version 4.14.4 or later. If immediate upgrading is not possible, consider implementing network-level filtering to block suspicious traffic targeting the Wazuh agent. While not a complete solution, this can reduce the attack surface. Monitor Wazuh agent logs for unusual crashes or errors that might indicate exploitation attempts. Implement a Web Application Firewall (WAF) or proxy to inspect and filter traffic to the Wazuh agent. After upgrading, confirm the fix by sending a test payload designed to trigger the buffer overflow and verifying that the process does not crash.

So behebenwird übersetzt…

Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string().  Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta.  Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.

Häufig gestellte Fragen

Was ist CVE-2026-28221 — Buffer Overflow in Wazuh?

It's a buffer overflow vulnerability in Wazuh versions 4.8.0–4.14.3 affecting the printhexstring() function.

Bin ich von CVE-2026-28221 in Wazuh betroffen?

You are affected if you are using Wazuh versions 4.8.0 through 4.14.3.

Wie behebe ich CVE-2026-28221 in Wazuh?

Upgrade to Wazuh version 4.14.4 or later. Implement network filtering as a temporary workaround.

Wird CVE-2026-28221 aktiv ausgenutzt?

Currently, there are no publicly known exploits or active campaigns targeting this vulnerability.

Wo finde ich den offiziellen Wazuh-Hinweis für CVE-2026-28221?

Refer to the Wazuh security advisories and the NVD entry for CVE-2026-28221.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...