Origine : bjCSIRT

Numéro : 2026/ALERTE/014

APERÇU :

Wazuh est une plateforme de sécurité open source conçue pour la détection des menaces et la gestion des incidents. Elle peut être déployée en mode cluster, où plusieurs nœuds (serveurs) collaborent pour assurer la scalabilité et la résilience du système. 

Cette solution est affectée par plusieurs vulnérabilités libellées comme suit : 

CVE-2026-25770 : cette vulnérabilité découle d’une faiblesse dans le service wazuh-clusterd, responsable de la synchronisation entre les nœuds du cluster. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’écraser le fichier de configuration /var/ossec/etc/ossec.conf et d’exécuter du code arbitraire à distance avec les privilèges root. Elle est classée critique avec un score de sévérité de 9.1 selon le CVSS v3.1. 

CVE-2026-25769 : cette vulnérabilité résulte d’une insuffisance dans la désérialisation des données non fiables au sein du protocole de communication du cluster. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant ayant compromis un nœud worker d’exécuter des commandes à distance avec les privilèges root sur le nœud master. Elle est classée critique avec un score de sévérité de 9.1 selon le CVSS v3.1. 

CVE-2026-25771 : cette vulnérabilité est causée par un appel bloquant dans l’authentification de l’API Wazuh, où une fonction synchrone effectuant des opérations d’entrée/sortie est exécutée dans une boucle d’événements asynchrone. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’inonder l’API de requêtes afin de provoquer un déni de service. Elle est classée moyenne avec un score de sévérité de 5.3 selon le CVSS v3.1. 

CVE-2026-25772 : cette vulnérabilité résulte d’une erreur de calcul de taille de tampon dans le module de synchronisation de la base de données wdb. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant de provoquer un débordement de tampon basé sur la pile, pouvant mener à un déni de service ou potentiellement à l’exécution de code à distance. Elle est classée moyenne avec un score de sévérité de 4.9 selon le CVSS v3.1. 

CVE-2026-25790 : cette vulnérabilité découle d’une utilisation non sécurisée de la fonction sprintf dans le décodeur SCA (Security Configuration Assessment). L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’envoyer un événement JSON spécialement conçu pour provoquer un débordement de tampon basé sur la pile, pouvant mener à un déni de service ou à l’exécution de code à distance. Elle est classée moyenne avec un score de sévérité de 4.9 selon le CVSS v3.1. 

IMPACT

• Élévation de privilèges ; 
• Atteinte à la confidentialité et à la disponibilité des données ;
• Compromission de l’intégrité du système ;
• Déni de service ;
• Exécution de code arbitraire à distance.

SYSTÈMES AFFECTÉS :

• CVE-2026-25770, CVE-2026-25769, CVE-2026-25790 : Les versions de Wazuh de la 3.9.0 à la 4.14.2 ;  
• CVE-2026-25771 : Les versions de Wazuh de la 4.3.0 à la 4.14.2 ; 
• CVE-2026-25772 : Les versions de Wazuh de la 4.4.0 à la 4.14.2. 

MESURES À PRENDRE :

• Limiter l’accès au service wazuh-clusterd aux seuls nœuds de confiance ; 
• Mettre à jour Wazuh vers la version 4.14.3 ou une version ultérieure ; 
• Renouveler la clé de cluster et procéder à al roation de tous les jetons/clés API suite à la mise à jour. 

RÉFÉRENCES :

• https://cti.wazuh.com/vulnerabilities/cves/CVE-2026-25770
• https://cti.wazuh.com/vulnerabilities/cves/CVE-2026-25772
• https://cti.wazuh.com/vulnerabilities/cves/CVE-2026-25771
• https://cti.wazuh.com/vulnerabilities/cves/CVE-2026-25790
• https://cti.wazuh.com/vulnerabilities/cves/CVE-2026-25769
• https://nvd.nist.gov/vuln/detail/CVE-2026-25770
• https://nvd.nist.gov/vuln/detail/CVE-2026-25769
• https://nvd.nist.gov/vuln/detail/CVE-2026-25771
• https://nvd.nist.gov/vuln/detail/CVE-2026-25772
• https://nvd.nist.gov/vuln/detail/CVE-2026-25790