Vulnerabilidad en wazuh (CVE-2026-25771)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

17/03/2026

Última modificación:

19/03/2026

Descripción

Wazuh es una plataforma de código abierto y gratuita utilizada para la prevención, detección y respuesta a amenazas. A partir de la versión 4.3.0 y antes de la versión 4.14.3, existe una vulnerabilidad de denegación de servicio (DoS) en el middleware de autenticación de la API de Wazuh (&#39;middlewares.py&#39;). La aplicación utiliza un bucle de eventos asíncrono (Starlette/Asyncio) para llamar a una función síncrona (&#39;generate_keypair&#39;) que realiza operaciones de E/S de disco bloqueantes en cada solicitud que contiene un token Bearer. Un atacante remoto no autenticado puede explotar esto inundando la API con solicitudes que contienen tokens Bearer no válidos. Esto fuerza al bucle de eventos de un solo hilo a pausar repetidamente para operaciones de lectura de archivos, privando a la aplicación de recursos de CPU y potencialmente impidiendo que acepte o procese conexiones legítimas. La versión 4.14.3 corrige el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:wazuh:wazuh::::::::	4.3.0 (incluyendo)	4.14.3 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/wazuh/wazuh/security/advisories/GHSA-33w3-p5hm-jw7g