host_deny AR 脚本中的 Wazuh 漏洞允许执行任意命令 (CVE-2023-50260)
CVE编号
CVE-2023-50260利用情况
暂无补丁情况
N/A披露时间
2024-04-19漏洞描述
Wazuh是一个免费的开源平台,用于威胁预防、检测和响应。在`host_deny`脚本中的错误验证允许将任何字符串写入`hosts.deny`文件,这可能导致目标系统上的任意命令执行。此漏洞是主动响应功能的一部分,可以自动触发对警报的响应操作。默认情况下,主动响应仅限于一组预定义的可执行文件。这是通过只允许在`/var/ossec/active-response/bin`目录下存储的可执行文件来实施的。然而,`/var/ossec/active-response/bin/host_deny`可能受到利用。`host_deny`用于将IP地址添加到`/etc/hosts.deny`文件中,通过使用TCP包装器在服务级别阻止传入连接。攻击者可以将任意命令注入到`/etc/hosts.deny`文件中,并通过使用spawn指令执行任意命令。主动响应可以通过将事件写入服务器上的本地`execd`队列或将事件转发到代理的`ar`队列来触发。因此,它可能导致服务器上的以root身份的本地提权和代理上以root身份的远程命令执行。此漏洞已在4.7.2中修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/wazuh/wazuh/security/advisories/GHSA-mjq2-xf8g-68vw |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论