开源安全解决方案的领先供应商 Wazuh 发布了一则重要的安全公告,内容涉及一个影响其平台的远程代码执行漏洞。该漏洞被认定为 CVE-2025-24016,通用漏洞评分系统(CVSS)评分为 9.9 分,攻击者利用该漏洞可能会完全控制存在漏洞的 Wazuh 服务器。Wazuh 是一个广泛使用的威胁预防、检测和响应平台。它提供了一套全面的安全功能,包括日志分析、入侵检测、文件完整性监控以及漏洞评估。根据该公告,该漏洞源于 Wazuh 服务器应用程序编程接口(API)中存在的不安全反序列化问题。攻击者可以通过向服务器发送精心构造的请求来利用这一缺陷,从而有可能实现任意代码执行。公告中指出:“任何有权访问 API 的人(如被攻陷的仪表板或集群中的 Wazuh 服务器)都可能触发该漏洞,在某些配置情况下,甚至被攻陷的代理程序也能触发。”该公告提供了一个概念验证(PoC)攻击示例,展示了攻击者如何利用 Wazuh 的 API 关闭主服务器:执行以下命令会强制主服务器立即关闭,这表明在默认凭据下利用该漏洞是多么容易。curl -X POST -k -u “wazuh-wui:MyS3cr37P450r.*-” -H “Content-Type: application/json” –data ‘{“__unhandled_exc”:{“class”: “exit”, “args__”: []}}’ https://<worker-server>:55000/security/user/authenticate/run_asWazuh 项目对报告该漏洞的安全研究员 DanielFi 表示了感谢。Wazuh 在 4.9.1 版本中修复了 CVE-2025-24016 漏洞。强烈敦促管理员立即进行更新,以降低风险。该公告强调了修复根本原因的重要性,而不是依赖于数据清理,因为 “在 as_wazuh_object 中可能存在多种其他执行任意代码的方式”。各组织还应审查 API 访问权限,并强化代理程序配置,以防止漏洞被利用。
