CVE-2025-54866CVE-2025-54866是Wazuh安全平台在Windows系统上的一个权限配置错误漏洞。Wazuh是一款免费开源的威胁预防、检测和响应平台,广泛应用于企业安全运营。在受影响版本中,Windows安装路径下的认证密码文件"C:\Program Files (x86)\ossec-agent\authd.pass"由于缺少正确的访问控制列表(ACL)配置,导致该文件对系统中所有"Authenticated Users"(认证用户)可读。这意味着任何具有本地用户账户的合法用户都能读取存储在authd.pass文件中的认证密码信息。攻击者获取该密码后可能用于进一步的网络横向移动或权限提升攻击,对系统机密性造成严重影响。
该漏洞属于Windows访问控制配置错误类型。在正常安全配置下,包含敏感认证信息的文件应当仅允许管理员或特定服务账户读取。然而Wazuh在4.3.0到4.13.0版本的Windows安装过程中,未能正确设置authd.pass文件的NTFS权限。该文件默认位于"C:\Program Files (x86)\ossec-agent\authd.pass",存储了Wazuh Agent连接到Manager所需的认证凭据。由于继承自父目录或默认的Everyone/Users组权限,所有本地认证用户(包括低权限账户)都具有读取权限。攻击者只需具备本地登录能力,即可通过文件管理器、命令行工具(如type、Get-Content)或任何能访问文件系统的程序读取该密码文件。成功利用后可获取Agent认证密钥,用于伪装成合法Agent与Wazuh Manager通信。