CVE-2026-28221: Buffer Overflow in Wazuh 4.8.0 - 4.14.4
Plataforma
linux
Componente
wazuh
Corrigido em
4.14.4
CVE-2026-28221 describes a buffer overflow vulnerability discovered in Wazuh, a threat prevention, detection, and response platform. This flaw, residing within the wazuh-remoted component, can be triggered by specially crafted input, potentially leading to a denial of service or, in more severe scenarios, arbitrary code execution. The vulnerability affects Wazuh versions 4.8.0 up to, but not including, version 4.14.4. A patch is available in version 4.14.4.
Impacto e Cenários de Ataque
A CVE-2026-28221 afeta o Wazuh em versões desde 4.8.0 até a versão 4.14.4, apresentando um estouro de buffer na pilha na função printhexstring() dentro do wazuh-remoted. Este defeito é acionado quando informações controladas por um atacante são formatadas usando sprintf(dst_buf + 2*i, "%.2x", src_buf[i]) em plataformas onde o tipo char é tratado como um inteiro com sinal, levando à extensão de sinal dos bytes antes da chamada variádica. Bytes de entrada como 0xFF podem resultar em uma saída de formatação como "fffff", excedendo os limites do buffer e potencialmente permitindo a execução de código arbitrário. A gravidade deste problema é classificada como CVSS 6.5, indicando um risco moderado.
Contexto de Exploração
A exploração desta vulnerabilidade requer que um atacante controle os dados passados para a função printhexstring(). Isso pode ser alcançado por meio de vários métodos, como a injeção de dados maliciosos nos logs do Wazuh ou a manipulação da configuração do Wazuh. O sucesso da exploração depende da arquitetura do sistema e de como o Wazuh é compilado. A extensão de sinal dos bytes em char é um fator chave na ocorrência da vulnerabilidade. A complexidade da exploração é considerada moderada, exigindo conhecimento específico da função printhexstring() e do comportamento de sprintf() em sistemas com char como um tipo com sinal.
Inteligência de Ameaças
Status do Exploit
EPSS
0.07% (percentil 21%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Baixo — negação de serviço parcial ou intermitente.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para mitigar a CVE-2026-28221 é atualizar o Wazuh para a versão 4.14.4 ou superior. Esta versão inclui uma correção que impede o estouro de buffer validando o comprimento da entrada antes de formatá-la. Recomenda-se aplicar esta atualização o mais rápido possível para proteger os sistemas Wazuh de possíveis ataques. Além disso, revise as configurações do Wazuh para garantir que os dados não confiáveis não estejam sendo processados sem validação adequada. Monitorar os logs do Wazuh em busca de comportamento anômalo também pode ajudar a detectar tentativas de exploração.
Como corrigirtraduzindo…
Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string(). Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta. Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.
Perguntas frequentes
O que é CVE-2026-28221 — Buffer Overflow em Wazuh?
As versões do Wazuh desde 4.8.0 até a versão 4.14.4 são vulneráveis à CVE-2026-28221.
Estou afetado pelo CVE-2026-28221 no Wazuh?
Você pode verificar sua versão do Wazuh executando o comando wazuh-version na linha de comando.
Como corrijo o CVE-2026-28221 no Wazuh?
Se não puder atualizar imediatamente, considere implementar medidas de mitigação, como restringir o acesso aos dados processados pelo Wazuh.
O CVE-2026-28221 está sendo explorado ativamente?
Atualmente, não existem ferramentas específicas para detectar a exploração desta vulnerabilidade, mas é recomendável monitorar os logs do Wazuh em busca de comportamento anômalo.
Onde encontro o aviso oficial do Wazuh para o CVE-2026-28221?
Você pode encontrar mais informações sobre esta vulnerabilidade no banco de dados CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-28221
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...