CVE-2026-28221: Buffer Overflow in Wazuh 4.8.0 - 4.14.4
Plateforme
linux
Composant
wazuh
Corrigé dans
4.14.4
CVE-2026-28221 describes a buffer overflow vulnerability discovered in Wazuh, a threat prevention, detection, and response platform. This flaw, residing within the wazuh-remoted component, can be triggered by specially crafted input, potentially leading to a denial of service or, in more severe scenarios, arbitrary code execution. The vulnerability affects Wazuh versions 4.8.0 up to, but not including, version 4.14.4. A patch is available in version 4.14.4.
Impact et Scénarios d'Attaque
La CVE-2026-28221 affecte Wazuh dans les versions de 4.8.0 à 4.14.4, présentant un débordement de tampon sur la pile dans la fonction printhexstring() à l'intérieur de wazuh-remoted. Cette faille est déclenchée lorsque des octets contrôlés par un attaquant sont formatés en utilisant sprintf(dst_buf + 2*i, "%.2x", src_buf[i]) sur les plateformes où le type char est traité comme un entier signé, ce qui entraîne une extension de signe des octets avant l'appel variadique. Des octets d'entrée tels que 0xFF peuvent entraîner une sortie de formatage comme "fffff", dépassant les limites du tampon et permettant potentiellement l'exécution de code arbitraire. La gravité de ce problème est classée comme CVSS 6.5, indiquant un risque modéré.
Contexte d'Exploitation
L'exploitation de cette vulnérabilité nécessite qu'un attaquant puisse contrôler les données transmises à la fonction printhexstring(). Cela pourrait être réalisé par diverses méthodes, telles que l'injection de données malveillantes dans les journaux de Wazuh ou la manipulation de la configuration de Wazuh. Le succès de l'exploitation dépend de l'architecture du système et de la manière dont Wazuh est compilé. L'extension de signe des octets dans char est un facteur clé dans l'occurrence de la vulnérabilité. La complexité de l'exploitation est considérée comme modérée, nécessitant des connaissances spécifiques de la fonction printhexstring() et du comportement de sprintf() sur les systèmes où char est un type signé.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- EPSS mis à jour
Mitigation et Contournements
La solution pour atténuer la CVE-2026-28221 est de mettre à niveau Wazuh vers la version 4.14.4 ou supérieure. Cette version inclut une correction qui empêche le débordement de tampon en validant la longueur de l'entrée avant de la formater. Il est recommandé d'appliquer cette mise à jour dès que possible pour protéger les systèmes Wazuh contre les attaques potentielles. De plus, examinez les configurations de Wazuh pour vous assurer que les données non fiables ne sont pas traitées sans validation appropriée. Surveiller les journaux de Wazuh à la recherche d'un comportement anormal peut également aider à détecter les tentatives d'exploitation.
Comment corrigertraduction en cours…
Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string(). Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta. Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.
Questions fréquentes
Qu'est-ce que CVE-2026-28221 — Buffer Overflow dans Wazuh ?
Les versions de Wazuh de 4.8.0 à 4.14.4 sont vulnérables à la CVE-2026-28221.
Suis-je affecté(e) par CVE-2026-28221 dans Wazuh ?
Vous pouvez vérifier votre version de Wazuh en exécutant la commande wazuh-version dans l'invite de commande.
Comment corriger CVE-2026-28221 dans Wazuh ?
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures d'atténuation, telles que la restriction de l'accès aux données traitées par Wazuh.
CVE-2026-28221 est-il activement exploité ?
Actuellement, il n'existe pas d'outils spécifiques pour détecter l'exploitation de cette vulnérabilité, mais il est recommandé de surveiller les journaux de Wazuh à la recherche d'un comportement anormal.
Où trouver l'avis officiel de Wazuh pour CVE-2026-28221 ?
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-28221
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...