Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad RCE en Wazuh Manager

Fecha de publicación 26/04/2024
Identificador
INCIBE-2024-0213
Importancia
5 - Crítica
Recursos Afectados

Wazuh Manager, versiones 3.8.0 y posteriores.

Descripción

Konstantin Bücheler (d0ntrash) ha reportado una vulnerabilidad de severidad crítica en Wazuh Manager. La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código.

Solución

Actualizar Wazuh Manager a la versión 4.7.2 o posteriores.

Detalle

La vulnerabilidad se encuentra en el servicio Analysis Engine, que escucha por defecto en el puerto TCP 1514. El problema se debe a la falta de validación adecuada de la longitud de caracteres Unicode proporcionados por el usuario en mensajes de Windows Eventchannel, antes de copiarlos en un búfer de memoria. Se ha asignado el identificador CVE-2024-32038 para esta vulnerabilidad.

Listado de referencias
ZDI-CAN-22475 - Wazuh Analysis Engine Event Decoder Heap-based Buffer Overflow Remote Code Execution Vulnerability
Wazuh Analysis Engine Event Decoder Heap-based Buffer Overflow Remote Code Execution Vulnerability
Etiquetas