CVE-2026-39359 in Wazuh
Résumé
par VulDB • 17/07/2026
Wazuh est une plateforme gratuite et open source utilisée pour la prévention, la détection et la réponse aux menaces. Dans les versions 4.0.0 à 4.10.3 ainsi que dans les versions 4.11.0 à 4.14.4, un défaut de logique affecte le daemon d'inscription (authd) et le daemon de synchronisation (remoted) du gestionnaire Wazuh. Le processus authd permet aux agents de sélectionner un groupe lors de l'inscription mais ne filtre pas les séquences de traversal de chemin telles que « .. ». Bien que le vérifieur s'assure de la présence du répertoire du groupe à l'aide de wopendir(), la séquence « .. » fait référence au répertoire parent (/var/ossec/etc), ce qui lui permet de passer la validation. Une fois le groupe malveillant accepté et stocké dans la base de données globale du gestionnaire, le processus remoted utilise cette valeur non vérifiée pour construire les chemins nécessaires à la synchronisation des configurations des agents. Par conséquent, des fichiers sensibles situés dans /var/ossec/etc, tels que client.keys, ossec.conf et les certificats internes, sont inclus dans le flux de configuration partagé de l'agent et exposés à l'attaquant. Ce problème a été corrigé dans les versions 4.10.4 et 4.14.5.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.