CVE-2026-28221: Buffer Overflow in Wazuh 4.x
Plateforme
linux
Composant
wazuh
Corrigé dans
4.14.4
Une vulnérabilité de débordement de mémoire tampon (Buffer Overflow) a été découverte dans Wazuh, une plateforme open source de prévention, détection et réponse aux menaces. Cette faille, présente dans les versions 4.8.0 et antérieures à 4.14.4, se situe dans la fonction printhexstring() du composant wazuh-remoted. L'exploitation de cette vulnérabilité peut entraîner une dégradation de la stabilité du système et potentiellement permettre l'exécution de code arbitraire. La version 4.14.4 corrige cette faille.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité permet à un attaquant de provoquer un débordement de mémoire tampon dans wazuh-remoted. Ce débordement est causé par une utilisation incorrecte de la fonction sprintf lors du formatage de données contrôlées par l'attaquant. Sur les systèmes où le type char est traité comme signé, l'extension de signe des octets peut entraîner l'émission d'une chaîne de formatage plus longue que la taille du tampon de destination, ce qui provoque une écriture hors des limites. Un attaquant pourrait potentiellement exploiter cette vulnérabilité pour exécuter du code arbitraire, compromettant ainsi la confidentialité, l'intégrité et la disponibilité du système Wazuh et des données qu'il surveille. Bien que l'exploitation directe puisse être complexe, la possibilité d'exécution de code arbitraire représente un risque significatif.
Contexte d'Exploitation
La vulnérabilité CVE-2026-28221 a été publiée le 29 avril 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la complexité potentielle de l'exploitation et du besoin de contrôler précisément les données d'entrée. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (Buffer Overflow) la rend potentiellement intéressante pour les attaquants. Il n'est pas listé sur KEV ni évalué par EPSS à ce jour. Consultez la publication NVD pour plus d'informations.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour Wazuh vers la version 4.14.4 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures de contournement temporaires. Il n'existe pas de correctifs de contournement spécifiques, mais une analyse approfondie du code source de wazuh-remoted pourrait permettre d'identifier des variables de contrôle de taille qui pourraient être renforcées. En attendant la mise à jour, surveillez attentivement les journaux système pour détecter tout comportement suspect ou des erreurs liées à wazuh-remoted. Après la mise à jour, vérifiez la correction en effectuant des tests de charge et en simulant des entrées malveillantes pour confirmer que le débordement de mémoire tampon n'est plus présent.
Comment corrigertraduction en cours…
Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string(). Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta. Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.
Questions fréquentes
What is CVE-2026-28221 — Buffer Overflow in Wazuh?
CVE-2026-28221 décrit une vulnérabilité de débordement de mémoire tampon dans Wazuh, affectant les versions 4.8.0 à 4.14.4. L'exploitation peut entraîner une dégradation de la stabilité et potentiellement l'exécution de code arbitraire.
Am I affected by CVE-2026-28221 in Wazuh?
Vous êtes affecté si vous utilisez Wazuh versions 4.8.0 à 4.14.4. Vérifiez votre version actuelle et mettez à jour si nécessaire.
How do I fix CVE-2026-28221 in Wazuh?
La solution est de mettre à jour Wazuh vers la version 4.14.4 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, surveillez les journaux et envisagez des mesures de contournement temporaires.
Is CVE-2026-28221 being actively exploited?
À ce jour, aucune preuve d'exploitation active n'est disponible, mais la nature de la vulnérabilité la rend potentiellement intéressante pour les attaquants.
Where can I find the official Wazuh advisory for CVE-2026-28221?
Consultez le site web de Wazuh et le NVD (National Vulnerability Database) pour obtenir les informations officielles et les avis de sécurité concernant CVE-2026-28221.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...