Plataforma
linux
Componente
wazuh
Corregido en
3.9.1
Existe una vulnerabilidad de elevación de privilegios en Wazuh Manager, una plataforma de seguridad de código abierto, que afecta a las versiones desde 3.9.0 hasta, pero sin incluir, 4.14.3. Esta vulnerabilidad permite a nodos autenticados escribir archivos arbitrarios en el sistema de archivos del administrador con los permisos del usuario 'wazuh'. La solución es actualizar a la versión 4.14.3.
La vulnerabilidad radica en el protocolo de sincronización de clúster de wazuh-clusterd. Un atacante autenticado puede aprovechar esta falla para sobrescribir archivos críticos del sistema, incluyendo el archivo de configuración principal (/var/ossec/etc/ossec.conf). El control sobre este archivo permite la modificación de la configuración de Wazuh, lo que podría resultar en la ejecución de comandos arbitrarios con los privilegios del usuario 'wazuh', obteniendo acceso no autorizado al sistema. Esto podría llevar a la exfiltración de datos sensibles, la instalación de malware o el control total del servidor Wazuh Manager. La severidad crítica se debe a la facilidad de explotación y el impacto potencial en la seguridad de la infraestructura.
Esta vulnerabilidad fue publicada el 17 de marzo de 2026. No se ha confirmado explotación activa en entornos reales, pero la alta severidad (CVSS 9.1) y la relativa simplicidad de la explotación sugieren un riesgo significativo. Es importante monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de ataque. La vulnerabilidad no figura en el KEV de CISA al momento de la redacción.
Organizations utilizing Wazuh Manager versions 3.9.0 through 4.14.2 are at risk. This includes those relying on Wazuh for security monitoring and incident response, particularly those with exposed cluster synchronization interfaces or inadequate network segmentation. Shared hosting environments running Wazuh Manager are also at increased risk due to potential shared access to the Wazuh cluster.
• linux / server:
journalctl -u wazuh-clusterd | grep -i "write access"• linux / server:
find /var/ossec/etc/ossec.conf -type f -mmin -60 # Check for recent modifications• linux / server:
lsof -i :1567 -p $(pidof wazuh-clusterd) # Check for connections to the cluster protocoldisclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Wazuh Manager a la versión 4.14.3 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda restringir el acceso al protocolo de sincronización de clúster solo a nodos de confianza. Implementar reglas en un firewall o proxy para limitar el tráfico hacia el puerto utilizado por wazuh-clusterd puede ayudar a reducir la superficie de ataque. Monitorear los logs del sistema en busca de actividades sospechosas relacionadas con la escritura de archivos en /var/ossec/etc/ es crucial. Se recomienda revisar la configuración de permisos del usuario 'wazuh' para asegurar que solo tenga los privilegios necesarios.
Actualice Wazuh Manager a la versión 4.14.3 o superior. Esto corrige la vulnerabilidad de escalada de privilegios en el protocolo de sincronización del clúster.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25770 is a critical vulnerability in Wazuh Manager versions 3.9.0 to 4.14.2, allowing authenticated nodes to overwrite configuration files, potentially leading to privilege escalation.
If you are running Wazuh Manager version 3.9.0 or later, and before version 4.14.3, you are potentially affected by this vulnerability.
Upgrade Wazuh Manager to version 4.14.3 or later to remediate the vulnerability. Consider temporary access restrictions as an interim measure.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target.
Refer to the official Wazuh security advisory for detailed information and updates: [https://www.wazuh.com/security-advisories/](https://www.wazuh.com/security-advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.