D0Ntrash

**Nome do software vulnerável e versões afetadas** Versões do Wazuh anteriores à 4.7.1 **Descrição** Foi detectada uma desreferência de ponteiro NULL no mecanismo de análise do Wazuh, uma plataforma gratuita e de código aberto utilizada para prevenção, detecção e resposta a ameaças. Este problema ocorre quando o `analysisd` recebe uma mensagem do syscollector com o `msg type` `hotfix`, mas sem um `timestamp`. A função `cJSON GetObjectItem()` é usada para obter o item de objeto `timestamp`, que é então desreferenciado sem verificar se há um valor `NULL`. Isso permite que clientes maliciosos realizem um ataque de Negação de Serviço (DoS) no mecanismo de análise. **Recomendações** Para versões anteriores à 4.7.1, atualize para a versão 4.7.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente `analysisd` para minimizar o risco de exploração. Evite enviar mensagens syscollector com o `msg type` `hotfix`, mas sem um `timestamp`, até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Wazuh versions prior to 4.7.2 **Description** The issue is related to the `host deny` script in Wazuh's active response feature, which allows for the execution of arbitrary commands on the target system due to improper input validation. This can be exploited by injecting arbitrary commands into the `/etc/hosts.deny` file using the `spawn` directive. The vulnerability can lead to local privilege escalation (LPE) on the server as root and remote code execution (RCE) on the agent as root. **Recommendations** For versions prior to 4.7.2, update to version 4.7.2 or later to fix the vulnerability. As a temporary workaround, consider restricting access to the `/var/ossec/active-response/bin/host deny` script to minimize the risk of exploitation. Avoid using the `host deny` script until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Wazuh Manager versions 3.8.0 through 4.7.1 **Description** The issue is related to a buffer overflow hazard in the wazuh-analysisd service when handling Unicode characters from Windows Eventchannel messages. This can be exploited by a remote attacker to execute arbitrary code. The vulnerability is associated with the incorrect handling of XML files containing Unicode characters by the cJSON PrintUnformatted() function. **Recommendations** For Wazuh Manager versions 3.8.0 through 4.7.1, update to Wazuh Manager 4.7.2 to resolve the issue. As a temporary workaround, consider restricting the handling of Unicode characters from Windows Eventchannel messages in the wazuh-analysisd service until a patch is applied.