Une faille critique a été découverte dans Wazuh, une plateforme open source populaire pour la détection et la réponse aux menaces. Référencée sous le numéro CVE-2025-24016, cette vulnérabilité permet l’exécution de code arbitraire à distance via une désérialisation non sécurisée dans le composant DistributedAPI.
Description technique
Entre les versions 4.4.0 et 4.9.0 incluses, Wazuh souffre d’une vulnérabilité dans la désérialisation d’objets JSON via la fonction as_wazuh_object, située dans le fichier framework/wazuh/core/cluster/common.py. Si un attaquant parvient à injecter un objet Python spécialement conçu dans une requête API, il peut forcer l'exécution d’une exception manipulée (__unhandled_exc__) pour exécuter du code arbitraire sur le serveur.
Cette attaque est possible pour tout utilisateur ayant accès à l’API Wazuh, ce qui inclut :
- Un utilisateur du Dashboard Wazuh compromis
- Un serveur membre du cluster compromis
- Et dans certains cas, un agent Wazuh compromis si la configuration le permet
Impact
- Exécution de code Python arbitraire sur le serveur Wazuh
- Compromission totale du serveur de sécurité
- Propagation potentielle à d'autres composants du cluster
Score de Sévérité (CVSS)
- Score : 9.8 / 10 (critique)
- Vecteur : Réseau
- Privilèges requis : Bas (accès API)
- Interaction utilisateur : Aucune
Versions affectées
Toutes les versions de Wazuh de 4.4.0 à 4.9.0 sont vulnérables. La version 4.9.1 contient un correctif.
Mesures de mitigation
- Mettre à jour immédiatement vers Wazuh 4.9.1
- Limiter l’accès à l’API Wazuh aux seules adresses IP ou utilisateurs autorisés
- Superviser les journaux pour détecter des comportements API anormaux
- Segmenter les serveurs Wazuh et agents dans des zones réseau distinctes
Sources officielles et références
Les solutions de sécurité doivent être sécurisées elles-mêmes. Si vous utilisez Wazuh, mettez à jour sans délai pour protéger votre infrastructure.