CVE-2026-41499

Nome do Software Vulnerável e Versões Afetadas Wazuh versões 4.0.0 até 4.14.3

Descrição Múltiplos problemas de escrita fora dos limites (out-of-bounds WRITE) baseados em heap existem na função parse uname string() dentro de remoted op.c. Esta função processa dados de identificação do SO de agentes e contém um padrão de código que escreve em strlen(ptr) - 1 sem verificar se as strings estão vazias. Quando uma string vazia é processada, strlen() retorna 0, causando um underflow de número inteiro não assinado onde 0 - 1 envolve para SIZE MAX. Isso resulta em uma operação de escrita ocorrendo 1 byte antes do buffer alocado, o que corrompe os metadados do heap, como o campo de tamanho do chunk no glibc malloc, levando à corrupção do heap.

Recomendações Atualizar para a versão 4.14.4.