Gratis scannen
Analyse in behandelingCVE-2026-28221

CVE-2026-28221: Buffer Overflow in Wazuh 4.x

Platform

linux

Component

wazuh

Opgelost in

4.14.4

Bekijk op NVD
Opslaan

CVE-2026-28221 beschrijft een stack-based buffer overflow in de printhexstring() functie van wazuh-remoted in Wazuh. Deze kwetsbaarheid ontstaat door een onjuiste behandeling van input bytes, wat kan leiden tot een overschrijving van het geheugen. De kwetsbaarheid treft Wazuh versies 4.8.0 tot en met 4.14.3. Een upgrade naar versie 4.14.4 is vereist om de kwetsbaarheid te verhelpen.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze buffer overflow kan leiden tot een denial-of-service (DoS), waarbij de Wazuh agent of de Wazuh manager onbeschikbaar wordt. In sommige scenario's, afhankelijk van de specifieke configuratie en de aard van de input, kan de kwetsbaarheid mogelijk worden misbruikt voor code-uitvoering. Dit zou een aanvaller in staat stellen om willekeurige code uit te voeren met de privileges van de proces dat de kwetsbare wazuh-remoted component draait. De ernst van de impact hangt af van de omgeving waarin Wazuh wordt ingezet en de privileges die de Wazuh agent of manager heeft.

Uitbuitingscontext

De kwetsbaarheid is openbaar bekend gemaakt op 29 april 2026. Er is momenteel geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid misbruiken. De CVSS score is MEDIUM (6.5), wat aangeeft dat de kwetsbaarheid een redelijk risico vormt. Er zijn geen publicaties van Proof-of-Concept (POC) code beschikbaar op het moment van schrijven, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig om een exploit te ontwikkelen.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.07% (21% percentiel)

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L6.5MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentwazuh
Leverancierwazuh
Minimumversie4.8.0
Maximumversie>= 4.8.0, < 4.14.4
Opgelost in4.14.4

Zwakheidsclassificatie (CWE)

CWE-121CWE-400

Tijdlijn

  1. Gepubliceerd
  2. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van Wazuh naar versie 4.14.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de input die naar de wazuh-remoted component wordt gestuurd. Hoewel er geen specifieke WAF-regels of proxy-configuraties zijn die deze kwetsbaarheid direct kunnen blokkeren, kan het implementeren van algemene buffer overflow detectie en preventie mechanismen helpen. Controleer de Wazuh configuratie op ongebruikelijke of onverwachte inputbronnen. Na de upgrade, verifieer de correcte werking van Wazuh door te controleren of de agenten correct communiceren met de manager en dat er geen onverwachte fouten optreden.

Hoe te verhelpenwordt vertaald…

Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string().  Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta.  Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.

Veelgestelde vragen

Wat is CVE-2026-28221 — Buffer Overflow in Wazuh?

CVE-2026-28221 is een buffer overflow kwetsbaarheid in Wazuh versies 4.8.0 tot 4.14.3, die kan leiden tot een denial-of-service of potentieel code-uitvoering.

Am I affected by CVE-2026-28221 in Wazuh?

Ja, als u Wazuh versie 4.8.0 tot en met 4.14.3 gebruikt, bent u kwetsbaar voor deze buffer overflow.

How do I fix CVE-2026-28221 in Wazuh?

Upgrade Wazuh naar versie 4.14.4 of hoger om deze kwetsbaarheid te verhelpen.

Is CVE-2026-28221 being actively exploited?

Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-28221, maar de kwetsbaarheid is openbaar bekend.

Where can I find the official Wazuh advisory for CVE-2026-28221?

Raadpleeg de Wazuh security advisories op de Wazuh website voor de meest recente informatie over CVE-2026-28221.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...