CVE-2025-15612Wazuh的预配置脚本及Dockerfile中存在不安全传输漏洞。问题源于脚本在调用curl下载资源时使用了-k/--insecure参数,导致SSL/TLS证书验证被禁用。攻击者若具备网络访问能力,可实施中间人攻击,拦截并篡改构建过程中下载的依赖项或代码。此行为可能导致远程代码执行,进而造成供应链攻击风险。
该漏洞的根本原因在于Wazuh的构建基础设施(包括预配置脚本和Dockerfile)在依赖网络资源时未严格验证服务器的身份。具体而言,开发人员在curl命令中使用了-k或--insecure选项,这会跳过对SSL/TLS证书链的验证。在CI/CD或容器构建过程中,当脚本尝试从远程仓库拉取代码或依赖包时,攻击者可以通过ARP欺骗、DNS劫持或控制网络网关等方式进行中间人攻击。由于客户端不校验证书,攻击者可以向受害者返回恶意构造的安装包或脚本。一旦这些恶意文件被构建系统执行,攻击者即可在构建环境或最终生成的镜像中获得远程代码执行权限,从而污染整个软件供应链。