Scanner gratuitement
Analyse en attenteCVE-2026-26204

CVE-2026-26204: Heap Out-of-Bounds Write in Wazuh

Plateforme

linux

Composant

wazuh

Corrigé dans

4.14.4

Voir sur NVD
Sauvegarder

CVE-2026-26204 describes a heap-based out-of-bounds write vulnerability discovered in Wazuh, a threat prevention, detection, and response platform. This flaw allows a malicious actor, potentially through a compromised Wazuh agent, to trigger denial of service or heap corruption. The vulnerability affects Wazuh versions from 1.0.0 up to, but not including, version 4.14.4. A fix is available in Wazuh version 4.14.4.

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2026-26204 dans Wazuh représente un risque de sécurité important en raison d'une écriture hors limites dans le buffer dans la fonction GetAlertData. Cette faille, causée par un débordement d'entier non signé et une arithmétique de pointeurs qui s'enroule, permet à un attaquant d'écrire un octet NULL immédiatement avant le début du buffer alloué par strdup. Cela corrompt les métadonnées du tas, ce qui peut entraîner un déni de service, une exécution de code à distance ou même la prise de contrôle du système. La vulnérabilité affecte les versions de Wazuh de 1.0.0 jusqu'à, mais sans inclure, 4.14.4, ce qui rend cruciale la mise à niveau vers la version 4.14.4 ou supérieure pour atténuer ce risque.

Contexte d'Exploitation

Un attaquant pourrait exploiter cette vulnérabilité en envoyant des données malveillantes conçues pour déclencher l'écriture hors limites du buffer dans la fonction GetAlertData. Cela pourrait être réalisé par diverses méthodes, telles que la manipulation d'alertes ou l'injection de données dans les journaux Wazuh. Le succès de l'exploitation dépendra de la configuration Wazuh spécifique et des autorisations de l'attaquant. Cependant, la capacité de corrompre les métadonnées du tas rend cette vulnérabilité particulièrement dangereuse, car elle pourrait permettre à l'attaquant de prendre le contrôle du système.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetFaible

EPSS

0.02% (percentile 4%)

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H4.4MEDIUMAttack VectorLocalComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Local — l'attaquant a besoin d'une session locale ou d'un shell sur le système.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantwazuh
Fournisseurwazuh
Version minimale1.0.0
Version maximale>= 1.0.0, < 4.14.4
Corrigé dans4.14.4

Classification de Faiblesse (CWE)

CWE-124CWE-191

Chronologie

  1. Publiée
  2. Modifiée
  3. EPSS mis à jour

Mitigation et Contournements

La solution à CVE-2026-26204 consiste à mettre à niveau vers la version 4.14.4 ou ultérieure de Wazuh. Cette mise à jour corrige la vulnérabilité en résolvant le problème d'écriture hors limites du buffer dans la fonction GetAlertData. Il est fortement recommandé d'effectuer la mise à niveau dès que possible pour protéger les systèmes contre les attaques potentielles. Avant de mettre à niveau, il est conseillé de sauvegarder votre configuration Wazuh et de consulter les notes de publication pour connaître les modifications ou les exigences supplémentaires. De plus, surveillez les journaux Wazuh après la mise à niveau pour vous assurer que tout fonctionne correctement.

Comment corrigertraduction en cours…

Actualice a la versión 4.14.4 o superior para mitigar la vulnerabilidad. Esta actualización corrige un error de escritura fuera de límites en la memoria que podría permitir la corrupción de la memoria o la denegación de servicio.

Questions fréquentes

Qu'est-ce que CVE-2026-26204 — Denial of Service (DoS) dans Wazuh ?

Les versions de Wazuh de 1.0.0 jusqu'à, mais sans inclure, 4.14.4 sont vulnérables à CVE-2026-26204.

Suis-je affecté(e) par CVE-2026-26204 dans Wazuh ?

Vérifiez la version de Wazuh que vous utilisez. Si elle est inférieure à 4.14.4, votre installation est vulnérable.

Comment corriger CVE-2026-26204 dans Wazuh ?

Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures d'atténuation supplémentaires, telles que la restriction de l'accès aux données Wazuh et la surveillance des journaux à la recherche d'activités suspectes.

CVE-2026-26204 est-il activement exploité ?

Consultez la documentation officielle de Wazuh pour obtenir des informations sur les outils et les scripts qui peuvent vous aider à automatiser le processus de mise à niveau.

Où trouver l'avis officiel de Wazuh pour CVE-2026-26204 ?

Vous pouvez trouver plus d'informations sur CVE-2026-26204 dans la base de données des vulnérabilités NVD (National Vulnerability Database) et sur le site Web de Wazuh.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...