CVE-2026-28221: Buffer Overflow em Wazuh 4.8.0 - 4.14.4
Plataforma
linux
Componente
wazuh
Corrigido em
4.14.4
Uma vulnerabilidade de estouro de buffer na pilha foi descoberta no Wazuh, uma plataforma de segurança de código aberto para prevenção, detecção e resposta a ameaças. A falha, presente nas versões 4.8.0 até 4.14.4, reside na função printhexstring() em wazuh-remoted. Exploração bem-sucedida pode resultar em negação de serviço ou, potencialmente, execução remota de código. A correção para esta vulnerabilidade está disponível na versão 4.14.4.
Impacto e Cenários de Ataque
A vulnerabilidade de estouro de buffer permite que um atacante controle o fluxo de execução do programa, potencialmente levando à execução de código arbitrário. O ataque é desencadeado ao formatar bytes controlados pelo atacante usando sprintf(dst_buf + 2*i, "%.2x", src_buf[i]). Em plataformas onde char é tratado como um tipo assinado, a extensão de sinal dos bytes pode levar a uma escrita fora dos limites do buffer de 2049 bytes na pilha. Isso pode ser explorado para sobrescrever dados críticos na memória, permitindo que o atacante execute código malicioso ou cause uma negação de serviço. A gravidade da vulnerabilidade reside na possibilidade de comprometer a integridade e a confidencialidade do sistema Wazuh.
Contexto de Exploração
A vulnerabilidade foi publicada em 29 de abril de 2026. A probabilidade de exploração é considerada média, dada a complexidade da exploração e a necessidade de controle sobre os bytes formatados. Não há evidências públicas de campanhas ativas explorando esta vulnerabilidade no momento da publicação. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database) ou EPSS (Exploit Prediction Scoring System) no momento da publicação.
Inteligência de Ameaças
Status do Exploit
EPSS
0.07% (percentil 21%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Baixo — negação de serviço parcial ou intermitente.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o Wazuh para a versão 4.14.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Implementar regras de firewall para restringir o acesso à porta do agente Wazuh pode limitar a superfície de ataque. Monitorar logs do Wazuh em busca de padrões de formatação anormais pode ajudar a detectar tentativas de exploração. Além disso, a aplicação de um Web Application Firewall (WAF) com regras específicas para prevenir ataques de formatação de string pode oferecer uma camada adicional de proteção. Após a atualização, verifique a integridade do sistema executando testes de regressão e monitorando o comportamento do Wazuh.
Como corrigirtraduzindo…
Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string(). Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta. Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.
Perguntas frequentes
O que é CVE-2026-28221 — Buffer Overflow em Wazuh?
CVE-2026-28221 é uma vulnerabilidade de estouro de buffer na pilha presente nas versões 4.8.0 até 4.14.4 do Wazuh, que pode permitir a execução de código arbitrário ou negação de serviço.
Estou afetado pelo CVE-2026-28221 em Wazuh?
Se você estiver usando o Wazuh nas versões 4.8.0 até 4.14.4, você está afetado por esta vulnerabilidade. Verifique a versão instalada e atualize o mais rápido possível.
Como corrigir CVE-2026-28221 em Wazuh?
A correção é atualizar o Wazuh para a versão 4.14.4 ou superior. Siga as instruções de atualização fornecidas pela Wazuh.
CVE-2026-28221 está sendo ativamente explorado?
Até o momento da publicação, não há evidências públicas de campanhas ativas explorando esta vulnerabilidade, mas a probabilidade de exploração é considerada média.
Onde posso encontrar o advisory oficial do Wazuh para CVE-2026-28221?
Consulte o site oficial do Wazuh para obter o advisory de segurança e as instruções de atualização: [https://www.wazuh.com/security-advisories/](https://www.wazuh.com/security-advisories/)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...