Vulnerabilidad en wazuh (CVE-2026-25790)

Wazuh es una plataforma de código abierto y gratuita utilizada para la prevención, detección y respuesta a amenazas. A partir de la versión 3.9.0 y antes de la versión 4.14.3, existen múltiples desbordamientos de búfer basados en pila en el decodificador de Evaluación de la Configuración de Seguridad (SCA) ('wazuh-analysisd'). El uso de 'sprintf' con un especificador de formato de punto flotante ('%lf') en un búfer de tamaño fijo de 128 bytes permite a un atacante remoto desbordar la pila. Un evento JSON especialmente diseñado puede desencadenar este desbordamiento, lo que lleva a una denegación de servicio (caída) o a una RCE potencial en el gestor de Wazuh. La vulnerabilidad se encuentra en '/src/analysisd/decoders/security_configuration_assessment.c', dentro de las funciones 'FillScanInfo' y 'FillCheckEventInfo'. En múltiples ubicaciones, se asigna un búfer de 128 bytes ('char value[OS_SIZE_128];') en la pila para almacenar la representación en cadena de un número de un evento JSON. El código verifica si el número es un entero o un doble. Si es un doble, utiliza 'sprintf(value, "%lf", ...)' para realizar la conversión. Esta llamada a 'sprintf' no tiene límites. Si se proporciona un número de punto flotante con un exponente grande (por ejemplo, '1.0e150'), 'sprintf' intentará escribir su representación completa en cadena (un '1' seguido de 150 ceros), que es más grande que el búfer de 128 bytes, corrompiendo la pila. La versión 4.14.3 corrige el problema.