CVE-2025-24016

Nome do Software Vulnerável e Versões Afetadas Versões do Wazuh de 4.4.0 a 4.9.1

Descrição O Wazuh, uma plataforma utilizada para prevenção, detecção e resposta a ameaças, é afetado por uma vulnerabilidade de desserialização insegura. Esta falha, que potencialmente permite a execução remota de código, decorre da desserialização insegura de parâmetros da DistributedAPI utilizando a função as wazuh object (localizada em framework/wazuh/core/cluster/common.py). Um atacante pode explorar isso injetando um dicionário não sanitizado em uma requisição ou resposta DAPI, forjando uma exceção não tratada (unhandled exc) para executar código Python arbitrário. A vulnerabilidade pode ser acionada por qualquer pessoa com acesso à API ou, em determinadas configurações, até mesmo por um agente comprometido. Múltiplas botnets Mirai estão explorando ativamente esta vulnerabilidade, resultando em ataques DDoS. O endpoint da API /security/user/authenticate/run as é um alvo para exploração. A vulnerabilidade está sendo ativamente explorada em ambientes reais.

Recomendações Atualize o Wazuh para a versão 4.9.1 ou superior. Restrinja o acesso à API a redes confiáveis e imponha autenticação rigorosa. Monitore regularmente os logs em busca de atividade suspeita. Proteja as configurações do agente para prevenir exploração a partir de endpoints comprometidos.