CVE-2026-28221 in Wazuh
Zusammenfassung
von VulDB • 27.05.2026
Wazuh ist eine kostenlose Open-Source-Plattform zur Bedrohungsprävention, -erkennung und -abwehr. Von Version 4.8.0 bis vor Version 4.14.4 besteht in `print_hex_string()` in `wazuh-remoted` ein stackbasierter Buffer Overflow. Der Fehler wird ausgelöst, wenn Angreifer kontrollierte Bytes mit `sprintf(dst_buf + 2*i, "%.2x", src_buf[i])` formatiert werden, auf Plattformen, bei denen `char` als vorzeichenbehaftet behandelt wird und der kompilierte Code Bytes vor dem variadischen Aufruf vorzeichenweit erweitert. Bei Eingabebytes wie 0xFF kann die Formatierung „ffffffff“ (8 Zeichen) anstelle von „ff“ (2 Zeichen) ausgeben, was zu einem Schreibzugriff außerhalb des Bereichs über einen festen 2049-Byte-Stack-Puffer hinaus führt. Der anfällige Pfad ist vor jeder Agenten-Authentifizierungs-/Registrierungslogik über TCP/1514 remote erreichbar, wenn ein übermäßiges Längenpräfix den Diagnosepfad „unexpected message (hex)“ ausführt. Darüber hinaus protokolliert derselbe nicht authentifizierte Diagnosepfad für übermäßige Nachrichten für jeden Auslöser einen von Angreifern kontrollierten Hex-Dump in `/var/ossec/logs/ossec.log`, was zu einer remote durchführbaren Log-Amplifizierung führt, die die Überwachungsgenauigkeit beeinträchtigen und Festplatten-/E/A-Ressourcen verbrauchen kann. Diese Log-Amplifizierung ist auch ohne Auslösen des Vorzeichenweitungs-Overflows erreichbar (z. B. unter Verwendung von Bytes < 0x80). Dieses Problem wurde in Version 4.14.4 gepatcht.
Once again VulDB remains the best source for vulnerability data.