CVE-2026-28221: Buffer Overflow en Wazuh 4.8.0 - 4.14.4
Plataforma
linux
Componente
wazuh
Corregido en
4.14.4
Se ha identificado una vulnerabilidad de desbordamiento de búfer de pila en Wazuh, una plataforma de seguridad de código abierto para prevención, detección y respuesta a amenazas. Esta vulnerabilidad, presente en las versiones desde 4.8.0 hasta la 4.14.4, reside en la función printhexstring() de wazuh-remoted. La explotación exitosa podría permitir a un atacante ejecutar código arbitrario en el sistema afectado. Se recomienda actualizar a la versión 4.14.4 para corregir esta vulnerabilidad.
Impacto y Escenarios de Ataque
El desbordamiento de búfer en printhexstring() se produce cuando se formatea una cadena controlada por el atacante utilizando sprintf. En plataformas donde char se trata como un tipo con signo, la extensión de signo de bytes puede llevar a que se escriba más allá del búfer asignado, causando un desbordamiento. Un atacante podría aprovechar esto para sobrescribir la memoria del proceso wazuh-remoted, potencialmente ejecutando código malicioso. El impacto es significativo, ya que permite la ejecución remota de código, lo que podría resultar en la toma de control completa del sistema Wazuh y, por extensión, de los sistemas que Wazuh está monitorizando. Esta vulnerabilidad comparte similitudes con otros desbordamientos de búfer de formato, donde la manipulación de la cadena de formato puede llevar a la ejecución de código.
Contexto de Explotación
La vulnerabilidad CVE-2026-28221 fue publicada el 29 de abril de 2026. No se ha reportado su inclusión en KEV (Kernel Exploit Vulnerability Database) ni se ha asignado un puntaje EPSS (Exploit Prediction Scoring System). No se han identificado públicamente pruebas de concepto (PoCs) activas para esta vulnerabilidad, pero la naturaleza del desbordamiento de búfer de pila la convierte en un objetivo potencial para la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.07% (21% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Bajo — denegación de servicio parcial o intermitente.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar Wazuh a la versión 4.14.4 o superior, donde se ha corregido el problema. Si la actualización a la versión 4.14.4 causa problemas de compatibilidad, se recomienda evaluar la posibilidad de realizar una reversión a una versión anterior estable antes de la 4.8.0, aunque esto no solucionará la vulnerabilidad. Como medida temporal, se pueden implementar reglas en un firewall de aplicaciones web (WAF) o proxy para filtrar solicitudes que contengan patrones sospechosos en los datos que se envían a wazuh-remoted. Además, se recomienda revisar la configuración de Wazuh para asegurar que solo se acepten datos de fuentes confiables. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando la versión instalada con wazuh-version.
Cómo corregirlotraduciendo…
Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string(). Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta. Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.
Preguntas frecuentes
What is CVE-2026-28221 — Buffer Overflow en Wazuh 4.8.0 - 4.14.4?
CVE-2026-28221 es una vulnerabilidad de desbordamiento de búfer de pila en Wazuh, presente en versiones desde 4.8.0 hasta 4.14.4, que podría permitir la ejecución de código arbitrario.
Am I affected by CVE-2026-28221 en Wazuh 4.8.0 - 4.14.4?
Si está utilizando Wazuh en las versiones 4.8.0 hasta 4.14.3, es vulnerable a esta vulnerabilidad. Verifique su versión con wazuh-version.
How do I fix CVE-2026-28221 en Wazuh 4.8.0 - 4.14.4?
Actualice Wazuh a la versión 4.14.4 o superior para solucionar la vulnerabilidad. Si la actualización causa problemas, considere una reversión a una versión anterior estable.
Is CVE-2026-28221 being actively exploited?
Actualmente no se han reportado explotaciones activas, pero la naturaleza de la vulnerabilidad la convierte en un objetivo potencial.
Where can I find the official Wazuh advisory for CVE-2026-28221?
Consulte el sitio web de Wazuh y su blog de seguridad para obtener la información más reciente sobre esta vulnerabilidad: [https://www.wazuh.com/](https://www.wazuh.com/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...