PT-2026-35965 · Wazuh · Wazuh
Alimezar
·
Publicado
2026-03-17
·
Atualizado
2026-04-29
·
CVE-2026-26206
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Wazuh versões 4.0.0 até 4.14.3
Descrição
A proteção contra força bruta da API do servidor Wazuh para o endpoint 'POST /security/user/authenticate' pode ser burlada através do envio de solicitações de autenticação simultâneas. Embora o limite
max login attempts seja aplicado corretamente para solicitações sequenciais, um surto paralelo permite que mais tentativas de login malsucedidas sejam processadas antes que o bloqueio de IP seja aplicado, permitindo mais tentativas de senha do que a política configurada prevê.Recomendações
Atualizar para a versão 4.14.4.
Exploit
Correção
Time Of Check To Time Of Use
Race Condition
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wazuh