Wazuh 5.0 版本曝出 CVSS 10 分高危漏洞,攻击者可利用库存管道注入恶意数据,以管理员权限操控后端 OpenSearch 数据库,PoC 已公开,需紧急升级至 5.0.0-beta3。
📝 详细摘要
文章报道了开源安全平台 Wazuh 5.0 版本中的一个严重安全漏洞(CVSS 10 分)。漏洞根源在于资产遥测管道未对 Agent 提交的 flatbuffer 字段进行转义处理,导致经过认证的恶意端点可向 OpenSearch 数据库注入任意批量操作,并以管理员权限执行。攻击者利用该漏洞可删除告警数据、清除入侵痕迹、在仪表板中植入持久化载荷,严重破坏安全监控与应急响应能力。文章指出该漏洞影响 5.0.0-beta1 及以上版本,4.x 分支不受影响,官方已在 5.0.0-beta3 中修复,并建议管理员立即升级。
💡 主要观点
- 漏洞源于库存管道未对 Agent 输入进行转义处理。 Wazuh 5.0 的库存管道将 Agent 提供的 flatbuffer 字段直接转发至 OpenSearch 的 NDJSON 请求体,未做任何转义,攻击者可嵌入恶意分隔符实施注入。
💬 文章金句
- Wazuh 5.0 库存管道将 Agent 提供的 flatbuffer 字段(DataValue.index)直接转发至 OpenSearch_bulk NDJSON 请求体,未进行转义处理
- 攻击者可跨索引执行任意文档删除,导致告警系统遭人为破坏及入侵痕迹清除
📊 文章信息
AI 初评:80
来源:FreeBuf
作者:FreeBuf
分类:软件编程
语言:中文
阅读时间:4 分钟
字数:813
标签: 安全, 漏洞分析, Wazuh, 开源项目, DevOps 与云