CVE-2025-24016
Remote code execution in Wazuh server
En resumen
Los servidores Wazuh anteriores a la versión 4.9.1 tienen una falla que permite que los atacantes con acceso a la API ejecuten código malicioso enviando solicitudes especialmente preparadas. Esto ocurre porque el servidor procesa datos sin validación adecuada.
Detalle técnico
CVE-2025-24016 es una vulnerabilidad de deserialización insegura en la capa DistributedAPI de Wazuh (framework/wazuh/core/cluster/common.py) donde la función `as_wazuh_object` procesa parámetros JSON sin sanitización. Un atacante con acceso a la API (a través de un panel comprometido, nodos del clúster o agentes en ciertas configuraciones) puede inyectar un diccionario malicioso que contenga un objeto de excepción `__unhandled_exc__` para lograr la ejecución arbitraria de código Python en el servidor Wazuh. La vulnerabilidad afecta las versiones 4.4.0 hasta 4.9.0.
Resumen generado y traducido por IA a partir de la descripción oficial.
Wazuh is a free and open source platform used for threat prevention, detection, and response. Starting in version 4.4.0 and prior to version 4.9.1, an unsafe deserialization vulnerability allows for remote code execution on Wazuh servers. DistributedAPI parameters are a serialized as JSON and deserialized using `as_wazuh_object` (in `framework/wazuh/core/cluster/common.py`). If an attacker manages to inject an unsanitized dictionary in DAPI request/response, they can forge an unhandled exception (`__unhandled_exc__`) to evaluate arbitrary python code. The vulnerability can be triggered by anybody with API access (compromised dashboard or Wazuh servers in the cluster) or, in certain configurations, even by a compromised agent. Version 4.9.1 contains a fix.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.