Platform
linux
Component
wazuh
Opgelost in
3.9.1
CVE-2026-25770 beschrijft een Privilege Escalation kwetsbaarheid in de Wazuh Manager, een component van het Wazuh platform voor threat detection en response. Deze kwetsbaarheid stelt geauthenticeerde nodes in staat om willekeurige bestanden te schrijven met de permissies van de wazuh systeemgebruiker, waardoor de configuratie van de manager kan worden aangepast. De kwetsbaarheid beïnvloedt versies van Wazuh Manager 3.9.0 tot en met 4.14.2. Een upgrade naar versie 4.14.3 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2026-25770 kan leiden tot een aanzienlijke verhoging van privileges binnen het Wazuh-systeem. Aangezien de wazuh gebruiker schrijftoegang heeft tot het hoofdconfiguratiebestand (/var/ossec/etc/ossec.conf), kan een aanvaller dit bestand overschrijven om de werking van de Wazuh Manager te manipuleren. Dit kan resulteren in het uitschakelen van detectie regels, het toevoegen van backdoors, of het verkrijgen van toegang tot gevoelige gegevens die door Wazuh worden verwerkt. De impact is kritiek, aangezien een aanvaller de gehele threat detection en response infrastructuur kan compromitteren. Het is vergelijkbaar met scenario's waarin configuratiebestanden worden gemanipuleerd om toegang te krijgen tot onderliggende systemen.
CVE-2026-25770 is openbaar bekend en heeft een CVSS score van 9.1 (CRITICAL). Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid suggereert dat deze in de toekomst mogelijk worden ontwikkeld. De kwetsbaarheid is gepubliceerd op 2026-03-17. Het is belangrijk om snel te reageren en de Wazuh Manager te patchen om de risico's te minimaliseren.
Organizations utilizing Wazuh Manager versions 3.9.0 through 4.14.2 are at risk. This includes those relying on Wazuh for security monitoring and incident response, particularly those with exposed cluster synchronization interfaces or inadequate network segmentation. Shared hosting environments running Wazuh Manager are also at increased risk due to potential shared access to the Wazuh cluster.
• linux / server:
journalctl -u wazuh-clusterd | grep -i "write access"• linux / server:
find /var/ossec/etc/ossec.conf -type f -mmin -60 # Check for recent modifications• linux / server:
lsof -i :1567 -p $(pidof wazuh-clusterd) # Check for connections to the cluster protocoldisclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-25770 is het upgraden van de Wazuh Manager naar versie 4.14.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de schrijftoegang van geauthenticeerde nodes tot de Wazuh Manager. Dit kan worden bereikt door de cluster synchronisatie protocol configuratie aan te passen. Controleer de Wazuh documentatie voor specifieke instructies over het beveiligen van de cluster synchronisatie. Het implementeren van een Web Application Firewall (WAF) kan helpen om verdachte verzoeken naar de Wazuh Manager te blokkeren. Zoek naar patronen in de logbestanden die wijzen op pogingen om configuratiebestanden te wijzigen.
Werk Wazuh Manager bij naar versie 4.14.3 of hoger. Dit corrigeert de privilege escalation kwetsbaarheid in het cluster synchronisatie protocol.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25770 is a critical vulnerability in Wazuh Manager versions 3.9.0 to 4.14.2, allowing authenticated nodes to overwrite configuration files, potentially leading to privilege escalation.
If you are running Wazuh Manager version 3.9.0 or later, and before version 4.14.3, you are potentially affected by this vulnerability.
Upgrade Wazuh Manager to version 4.14.3 or later to remediate the vulnerability. Consider temporary access restrictions as an interim measure.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target.
Refer to the official Wazuh security advisory for detailed information and updates: [https://www.wazuh.com/security-advisories/](https://www.wazuh.com/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.