Plataforma
linux
Componente
wazuh
Corrigido em
3.9.1
Uma vulnerabilidade de escalada de privilégios foi descoberta no Wazuh Manager, uma plataforma de segurança de código aberto. Esta falha permite que nós autenticados explorem o protocolo de sincronização de cluster para escrever arquivos arbitrários no sistema de arquivos do gerenciador com as permissões do usuário wazuh. As versões afetadas são 3.9.0 e posteriores até a versão 4.14.2; a correção está disponível na versão 4.14.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso root ao Wazuh Manager. Isso significa que o atacante pode executar comandos arbitrários com os privilégios mais altos do sistema, potencialmente comprometendo toda a infraestrutura protegida pelo Wazuh. Dada a capacidade de escrever no arquivo de configuração principal (/var/ossec/etc/ossec.conf), um atacante pode modificar as regras de detecção, desativar alertas ou até mesmo instalar backdoors persistentes. A gravidade é amplificada pelo fato de que o Wazuh Manager frequentemente atua como um ponto central de coleta e análise de logs de segurança, tornando-o um alvo de alto valor para atacantes que buscam acesso a informações confidenciais ou controle sobre a rede.
A vulnerabilidade foi divulgada em 17 de março de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão na KEV (CISA Known Exploited Vulnerabilities) no momento da divulgação. A existência de um Proof of Concept (PoC) público é desconhecida, mas a natureza da vulnerabilidade (escalada de privilégios) a torna um alvo atraente para pesquisadores de segurança e potenciais atacantes.
Organizations utilizing Wazuh Manager versions 3.9.0 through 4.14.2 are at risk. This includes those relying on Wazuh for security monitoring and incident response, particularly those with exposed cluster synchronization interfaces or inadequate network segmentation. Shared hosting environments running Wazuh Manager are also at increased risk due to potential shared access to the Wazuh cluster.
• linux / server:
journalctl -u wazuh-clusterd | grep -i "write access"• linux / server:
find /var/ossec/etc/ossec.conf -type f -mmin -60 # Check for recent modifications• linux / server:
lsof -i :1567 -p $(pidof wazuh-clusterd) # Check for connections to the cluster protocoldisclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Wazuh Manager para a versão 4.14.3 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso ao protocolo de cluster apenas a nós confiáveis. Monitore de perto os logs do sistema em busca de atividades suspeitas relacionadas à escrita de arquivos pelo usuário wazuh. Implementar regras de firewall para limitar o acesso à porta do cluster. Após a atualização, verifique a integridade dos arquivos de configuração do Wazuh para garantir que não foram modificados.
Atualize o Wazuh Manager para a versão 4.14.3 ou superior. Isso corrige a vulnerabilidade de escalada de privilégios no protocolo de sincronização do cluster.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25770 is a critical vulnerability in Wazuh Manager versions 3.9.0 to 4.14.2, allowing authenticated nodes to overwrite configuration files, potentially leading to privilege escalation.
If you are running Wazuh Manager version 3.9.0 or later, and before version 4.14.3, you are potentially affected by this vulnerability.
Upgrade Wazuh Manager to version 4.14.3 or later to remediate the vulnerability. Consider temporary access restrictions as an interim measure.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target.
Refer to the official Wazuh security advisory for detailed information and updates: [https://www.wazuh.com/security-advisories/](https://www.wazuh.com/security-advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.