Uma vulnerabilidade crítica no Wazuh Manager pode permitir que invasores manipulem alertas, apaguem evidências forenses e alterem dados usados por equipes de segurança em ambientes monitorados pela plataforma.
A falha recebeu pontuação CVSS 10.0 e afeta o Wazuh Manager 5.0.0-beta1.
O problema está no subsistema inventory_sync, introduzido nessa versão, e envolve uma falha de injeção NDJSON.
O componente processa dados enviados por agentes e os encaminha para a API _bulk do OpenSearch sem validar corretamente o campo usado para definir índices.
Na prática, um agente malicioso ou comprometido pode inserir quebras de linha e fragmentos JSON no campo vulnerável. Com isso, operações não autorizadas, como exclusão, atualização ou criação de documentos, podem ser embutidas no fluxo legítimo de indexação.
Pesquisadores demonstraram a exploração por canais padrão de comunicação do Wazuh, incluindo as portas TCP 1514 e 1515.
O ataque também pode ser viabilizado por configurações inseguras que permitem o registro anônimo de agentes no wazuh-authd.
Com acesso ao fluxo de dados, um invasor poderia apagar alertas, modificar informações de inventário e vulnerabilidades, alterar registros de outros agentes ou inserir conteúdo malicioso em painéis de análise.
Isso compromete a confiança nos dados usados para investigação e resposta a incidentes.
A correção está disponível no Wazuh 5.0.0-beta3. Administradores devem atualizar a plataforma, desativar registro anônimo de agentes, restringir privilégios do indexador, revisar logs e investigar modificações suspeitas em índices do OpenSearch.



