文章总结： Wazuh5.0存在CVSS10分高危漏洞，攻击者可通过未转义的DataValue.index字段注入恶意分隔符，以管理员权限执行未授权OpenSearch批量操作，导致日志篡改、证据销毁等严重后果。受影响版本为5.0.0-beta1起，官方已在5.0.0-beta3版本修复，建议用户立即升级。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,数据安全,安全运营

Wazuh CVSS 10分漏洞细节与PoC公开，可致日志系统遭恶意篡改

FreeBuf

2026年6月15日 18:00 上海

在小说阅读器读本章

去阅读

开源防御安全社区近日曝出一个重大安全漏洞。完整技术细节及可实际利用的概念验证代码已在网上公开。这个Wazuh CVSS 10分高危漏洞允许经过认证的端点直接操控中央日志存储系统。因此，任何正在测试该下一代平台的企业都必须立即采取修复措施，否则将面临基础设施遭篡改的严重后果。

Part01

注入漏洞的技术原理

该高危威胁的根源在于平台的资产遥测管道深处。技术披露文件明确指出：”Wazuh 5.0库存管道将Agent提供的flatbuffer字段（DataValue.index）直接转发至OpenSearch_bulk NDJSON请求体，未进行转义处理”。由于缺乏转义机制，攻击者可轻易在该参数中嵌入恶意分隔符，使得恶意端点能够将未经授权的OpenSearch批量操作混入后端数据库查询——这些操作将以管理端的高权限凭证执行。

Part02

严重危害与利用风险

利用此Wazuh CVSS 10分漏洞将对企业环境造成严重影响。通过执行注入命令，恶意Agent可获得破坏性数据库权限。例如：攻击者可跨索引执行任意文档删除，导致告警系统遭人为破坏及入侵痕迹清除；还能在仪表板对象中植入持久化载荷，使取证证据被轻易销毁，导致安全分析师在应急响应过程中完全失明。

密钥库凭证暴露

平台默认使用本地密钥库存储的凭证转发请求，这些角色在标准安装中映射为具备完全访问权限的管理员账户，使得注入操作能以最高数据库权限执行。

Part03

可用补丁与修复方案

该漏洞影响自5.0.0-beta1版本起的wazuh-manager安装实例，旧版4.x分支因不存在库存同步路径而完全不受影响。开发团队已在5.0.0-beta3版本中强制实施字符转义机制。网络管理员应立即查阅GitHub官方安全公告中披露的技术细节与复现代码，升级存在漏洞的管理端是阻断未授权OpenSearch批量操作的关键措施。

参考来源：

Critical Wazuh CVSS 10 Vulnerability Details and Proof-of-Concept Released

https://www.freebuf.com/articles/system/486038.html

推荐阅读

#

#

#

#

#

#

#

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Wazuh CVSS 10分漏洞细节与PoC公开，可致日志系统遭恶意篡改》