免费扫描
分析待定CVE-2026-28221

CVE-2026-28221: Buffer Overflow in Wazuh 4.8.0 - 4.14.4

平台

linux

组件

wazuh

修复版本

4.14.4

在NVD查看
保存

CVE-2026-28221 describes a buffer overflow vulnerability discovered in Wazuh, a threat prevention, detection, and response platform. This flaw, residing within the wazuh-remoted component, can be triggered by specially crafted input, potentially leading to a denial of service or, in more severe scenarios, arbitrary code execution. The vulnerability affects Wazuh versions 4.8.0 up to, but not including, version 4.14.4. A patch is available in version 4.14.4.

影响与攻击场景

CVE-2026-28221 影响 Wazuh 的 4.8.0 到 4.14.4 版本,在 wazuh-remoted 中的 printhexstring() 函数中存在基于堆栈的缓冲区溢出。当攻击者控制的字节使用 sprintf(dst_buf + 2*i, "%.2x", src_buf[i]) 进行格式化时,该漏洞会被触发。在 char 类型被视为有符号整数的平台上,在变长参数调用之前会发生字节的符号扩展,从而导致此漏洞。例如,输入字节为 0xFF 时,格式化输出可能为 "fffff",超出缓冲区边界,可能导致任意代码执行。此问题的严重程度评分为 CVSS 6.5,表明存在中等风险。

利用背景

利用此漏洞需要攻击者能够控制传递给 printhexstring() 函数的数据。这可以通过多种方法实现,例如将恶意数据注入 Wazuh 日志或操纵 Wazuh 配置。利用成功取决于系统架构以及 Wazuh 的编译方式。char 中字节的符号扩展是漏洞发生的关键因素。利用的复杂性被认为是中等,因为它需要对 printhexstring() 函数以及在将 char 作为有符号类型处理的系统上 sprintf() 的行为有特定的了解。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.07% (21% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L6.5MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件wazuh
供应商wazuh
最低版本4.8.0
最高版本>= 4.8.0, < 4.14.4
修复版本4.14.4

弱点分类 (CWE)

CWE-121CWE-400

时间线

  1. 发布日期
  2. EPSS 更新日期

缓解措施和替代方案

减轻 CVE-2026-28221 的方法是将 Wazuh 升级到 4.14.4 或更高版本。此版本包含修复程序,通过在格式化之前验证输入长度来防止缓冲区溢出。建议尽快应用此更新以保护 Wazuh 系统免受潜在攻击。此外,请审查 Wazuh 配置,以确保未经适当验证的不可信数据不会被处理。监控 Wazuh 日志中是否存在异常行为也有助于检测利用尝试。

修复方法翻译中…

Actualice Wazuh a la versión 4.14.4 o superior para mitigar el riesgo de desbordamiento de búfer en la función print_hex_string().  Esta actualización aborda la vulnerabilidad al corregir la forma en que se manejan los bytes de entrada y evitar la extensión de signo incorrecta.  Verifique la documentación oficial de Wazuh para obtener instrucciones detalladas de actualización.

常见问题

CVE-2026-28221 是什么 — Wazuh 中的 Buffer Overflow?

Wazuh 的 4.8.0 到 4.14.4 版本容易受到 CVE-2026-28221 的攻击。

Wazuh 中的 CVE-2026-28221 是否会影响我?

您可以通过在命令行中运行 wazuh-version 命令来验证 Wazuh 版本。

如何修复 Wazuh 中的 CVE-2026-28221?

如果无法立即更新,请考虑实施缓解措施,例如限制 Wazuh 处理的数据访问。

CVE-2026-28221 是否正在被积极利用?

目前没有专门用于检测此漏洞利用的工具,但建议监控 Wazuh 日志中是否存在异常行为。

在哪里可以找到 Wazuh 关于 CVE-2026-28221 的官方安全通告?

您可以在 CVE 数据库中找到有关此漏洞的更多信息:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-28221

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...