Vulnerabilidad RCE en Wazuh Manager

Fecha de publicación 26/04/2024

Importancia

5 - Crítica

Recursos Afectados

Wazuh Manager, versiones 3.8.0 y posteriores.

Descripción

Konstantin Bücheler (d0ntrash) ha reportado una vulnerabilidad de severidad crítica en Wazuh Manager. La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código.

Solución

Actualizar Wazuh Manager a la versión 4.7.2 o posteriores.

Detalle

La vulnerabilidad se encuentra en el servicio Analysis Engine, que escucha por defecto en el puerto TCP 1514. El problema se debe a la falta de validación adecuada de la longitud de caracteres Unicode proporcionados por el usuario en mensajes de Windows Eventchannel, antes de copiarlos en un búfer de memoria. Se ha asignado el identificador CVE-2024-32038 para esta vulnerabilidad.

Listado de referencias

ZDI-CAN-22475 - Wazuh Analysis Engine Event Decoder Heap-based Buffer Overflow Remote Code Execution Vulnerability

Wazuh Analysis Engine Event Decoder Heap-based Buffer Overflow Remote Code Execution Vulnerability

Etiquetas