CVE-2026-26204: Heap Out-of-Bounds Write en Wazuh
Plataforma
linux
Componente
wazuh
Corregido en
4.14.4
La vulnerabilidad CVE-2026-26204 afecta a Wazuh, una plataforma de seguridad de código abierto para prevención, detección y respuesta a amenazas. Se trata de una escritura fuera de límites en el heap que ocurre en la función GetAlertData, permitiendo a un atacante, a través de un agente comprometido, potencialmente causar una denegación de servicio o corrupción de heap. Esta vulnerabilidad afecta a versiones de Wazuh desde 1.0.0 hasta, pero sin incluir, la versión 4.14.4. Se recomienda actualizar a la versión 4.14.4 para mitigar el riesgo.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad podría causar una denegación de servicio (DoS) al corromper la memoria del servidor Wazuh. La corrupción del heap podría llevar a un comportamiento impredecible del sistema, incluyendo bloqueos o incluso la ejecución de código arbitrario, aunque esto último no se ha confirmado explícitamente en la descripción. La gravedad del impacto depende de la criticidad del servidor Wazuh en la infraestructura de seguridad. Si Wazuh es un componente central para la detección y respuesta a incidentes, una denegación de servicio podría tener un impacto significativo en la capacidad de la organización para responder a amenazas. La inyección de datos maliciosos a través de un agente comprometido es el vector de ataque principal, lo que implica que la seguridad de los agentes Wazuh es crucial para prevenir la explotación.
Contexto de Explotación
La vulnerabilidad CVE-2026-26204 fue publicada el 29 de abril de 2026. La probabilidad de explotación se considera media, dado que requiere un agente comprometido para inyectar datos maliciosos. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La vulnerabilidad no figura en la lista KEV (Kernel Exploit Vulnerability). Se recomienda monitorear las fuentes de inteligencia de amenazas y los avisos de seguridad de Wazuh para obtener información actualizada sobre posibles exploits y campañas de ataque.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (4% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Local — el atacante necesita sesión local o shell en el sistema.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-26204 es actualizar Wazuh a la versión 4.14.4 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda aislar los agentes Wazuh potencialmente comprometidos y revisar sus configuraciones para detectar cualquier actividad sospechosa. Como medida temporal, se podría considerar la implementación de reglas de firewall para restringir el acceso a la API de Wazuh desde fuentes no confiables. Aunque no hay firmas Sigma o YARA específicas disponibles para esta vulnerabilidad, se recomienda monitorear los logs de Wazuh en busca de patrones inusuales de escritura en la memoria. Después de la actualización, confirme la corrección ejecutando pruebas de integridad de la memoria y verificando que la función GetAlertData se comporte correctamente.
Cómo corregirlotraduciendo…
Actualice a la versión 4.14.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un error de escritura fuera de límites en la memoria que podría permitir la corrupción de la memoria o la denegación de servicio.
Preguntas frecuentes
What is CVE-2026-26204 — heap out-of-bounds write en Wazuh?
CVE-2026-26204 es una vulnerabilidad de escritura fuera de límites en el heap de Wazuh que permite a un atacante causar denegación de servicio o corrupción de heap a través de un agente comprometido. Afecta a versiones 1.0.0 a 4.14.4.
Am I affected by CVE-2026-26204 en Wazuh?
Sí, si está utilizando Wazuh en las versiones 1.0.0 hasta, pero sin incluir, la versión 4.14.4, es vulnerable a esta vulnerabilidad. Verifique su versión actual y actualice si es necesario.
How do I fix CVE-2026-26204 en Wazuh?
La solución es actualizar Wazuh a la versión 4.14.4 o superior. Si la actualización no es posible de inmediato, aplique las mitigaciones recomendadas, como aislar agentes comprometidos y restringir el acceso a la API.
Is CVE-2026-26204 being actively exploited?
Al momento de la publicación, no se han reportado campañas de explotación activas conocidas para CVE-2026-26204, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official Wazuh advisory for CVE-2026-26204?
Consulte el sitio web oficial de Wazuh y su blog de seguridad para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones correspondientes: [https://www.wazuh.com/](https://www.wazuh.com/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...