Ejecución de Código Arbitrario y Salto de Directorio en Wazuh
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-UC) emite una alerta de severidad CRÍTICA ante el descubrimiento de una vulnerabilidad en los productos Wazuh.
Esta falla de seguridad afecta la sincronización de los clústeres y permite a un actor malicioso (autenticado como par del clúster) escribir archivos arbitrarios en otros nodos. Esto puede derivar en la ejecución remota de código (RCE) y, en despliegues con privilegios elevados, resultar en la vulneración total del sistema.
AVISO: Se ha confirmado la existencia de una prueba de concepto (PoC) pública para esta vulnerabilidad, lo que incrementa drásticamente el riesgo de explotación inminente en entornos de producción.
Detalles Técnicos de la Vulnerabilidad
| Atributo | Detalle |
| Identificador CVE | CVE-2026-30893 |
| Puntuación CVSS v3.1 | 9.0 (CRÍTICA) |
| Tipo de Falla | Salto de directorio (Directory Traversal). |
| Componente Afectado | Rutina de extracción de sincronización del clúster (función decompress_files()). |
| Mecanismo de Explotación | Falta de validación al descomprimir archivos. Un atacante puede sobrescribir módulos de Python utilizados por los componentes de Wazuh. |
| Impacto Potencial | Escritura de archivos y Ejecución de Código Arbitrario en el contexto del servicio, comprometiendo todo el sistema. |
Productos y Versiones Afectadas
Esta vulnerabilidad afecta directamente a la infraestructura de servidores de Wazuh.
| Producto Afectado | Versiones Vulnerables | Recomendación URGENTE |
| Wazuh | Versiones 4.4.x anteriores a la 4.14.4 | Actualizar inmediatamente a la versión 4.14.4 o superior. |
Mitigación
El CSIRT-UC insta tomar las siguientes medidas de forma inmediata:
- Actualizar el entorno Wazuh: Descargue e instale la última versión estable desde el repositorio oficial del fabricante. Es vital actualizar todos los nodos del
- Monitoreo de Integridad: Verifique la integridad de los módulos de Python dentro del directorio de instalación de Wazuh para descartar sobrescrituras maliciosas previas al parcheo.
Referencias Oficiales
- Registro CVE: CVE-2026-30893 en CVE.org
- Aviso de Seguridad en GitHub: GHSA-m8rw-v4f6-8787
CSIRT-UC