CVE-2025-24016
Remote code execution in Wazuh server
Em resumo
Servidores Wazuh antes da versão 4.9.1 possuem uma falha que permite que invasores com acesso à API executem código malicioso enviando requisições especialmente preparadas. Isso ocorre porque o servidor processa dados sem validação apropriada.
Detalhe técnico
CVE-2025-24016 é uma vulnerabilidade de desserialização insegura na camada DistributedAPI do Wazuh (framework/wazuh/core/cluster/common.py) onde a função `as_wazuh_object` processa parâmetros JSON sem sanitização. Um atacante com acesso à API (via dashboard comprometido, nós do cluster ou agentes em certas configurações) pode injetar um dicionário malicioso contendo um objeto de exceção `__unhandled_exc__` para alcançar execução arbitrária de código Python no servidor Wazuh. A vulnerabilidade afeta versões 4.4.0 até 4.9.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Wazuh is a free and open source platform used for threat prevention, detection, and response. Starting in version 4.4.0 and prior to version 4.9.1, an unsafe deserialization vulnerability allows for remote code execution on Wazuh servers. DistributedAPI parameters are a serialized as JSON and deserialized using `as_wazuh_object` (in `framework/wazuh/core/cluster/common.py`). If an attacker manages to inject an unsanitized dictionary in DAPI request/response, they can forge an unhandled exception (`__unhandled_exc__`) to evaluate arbitrary python code. The vulnerability can be triggered by anybody with API access (compromised dashboard or Wazuh servers in the cluster) or, in certain configurations, even by a compromised agent. Version 4.9.1 contains a fix.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.