CVE-2026-30893 – Kritische Lücke in Wazuh erlaubt Codeausführung über Cluster-Sync

Wer Wazuh als SIEM- oder Monitoring-Plattform im Cluster-Betrieb einsetzt, sollte umgehend handeln. In der Funktion decompress_files() werden Dateipfade aus empfangenen Sync-Archiven ungefiltert an os.path.join() übergeben – ein klassischer Path-Traversal-Fehler. Ein authentifizierter Cluster-Peer kann dadurch Dateien an beliebige Stellen im Dateisystem schreiben, etwa Python-Module überschreiben, die Wazuh selbst lädt, und so Code im Kontext des Wazuh-Dienstes ausführen. In Docker-Umgebungen, wo der Daemon häufig als root läuft, ist eine vollständige Systemkompromittierung möglich – inklusive Cron-Jobs, SSH-Keys und mehr. Ein funktionierender Proof-of-Concept ist öffentlich verfügbar, was die Dringlichkeit weiter erhöht.

Betroffen sind alle Wazuh-Manager-Installationen ab Version 4.4.0. Die gepatchte Version ist 4.14.4. Wer prüfen möchte, ob er betroffen ist: wazuh-manager --version in der Shell genügt. Läuft der Cluster-Modus gar nicht (nur Standalone-Deployment ohne Worker-Nodes), ist das Angriffsszenario deutlich eingeschränkt – aber das Updaten bleibt trotzdem geboten.

Die Maßnahme ist klar: Update auf 4.14.4 oder neuer. Wer nicht sofort patchen kann, sollte den Cluster-Port (Standard: 1516/TCP) durch Firewall-Regeln auf bekannte Peer-IPs beschränken und sicherstellen, dass der Cluster-Key nicht kompromittiert ist. Den laufenden Nutzer des Wazuh-Daemons auf einen nicht-root-Account zu begrenzen reduziert den potenziellen Schaden erheblich.

Details und Advisory: https://github.com/advisories/GHSA-m8rw-v4f6-8787

Related Posts

NLTK-Downloader erlaubt Überschreiben beliebiger Dateien (CVE-2026-33236)

Die beliebte Python-Bibliothek NLTK (Natural Language Toolkit) weist in allen Versionen bis einschliesslich 3.9.2 eine kritische Path-Traversal-Schwachstelle auf. Der NLTK-Downloader prüft beim Verarbeiten von XML-Indexdateien die Attribute subdir und id nicht auf gefährliche Zeichenfolgen wie ../. Ein Angreifer, der einen eigenen XML-Indexserver betreibt, kann dadurch Opfer dazu bringen, beim Ausführen eines scheinbar harmlosen downloader.download()-Aufrufs beliebige Dateien auf deren System zu erstellen oder zu überschreiben – darunter potenziell sensitive Systemdateien wie /etc/passwd oder SSH-Schlüssel.

Read More

Google warnt: KI macht Cyberangriffe schneller, gezielter und schwerer erkennbar

Google Cloud hat seinen Cybersecurity Forecast 2026 veröffentlicht – eine nüchterne Bestandsaufnahme der Bedrohungslage, die auf echten Vorfallsdaten und Geheimdiensterkenntnissen basiert. Die Kernaussage: KI ist längst kein Zukunftsthema mehr, sondern wird von Angreifern heute aktiv eingesetzt – für überzeugendere Phishing-Mails, täuschend echte Telefonanrufe (Vishing) mit geklonten Stimmen und automatisierte Angriffskampagnen im grossen Massstab.

Read More

Cyberangriff auf Europa.eu – Kommission bestätigt Datendiebstahl

Am 24. März 2026 entdeckte die Europäische Kommission einen Angriff auf die Cloud-Infrastruktur, auf der die öffentlichen Websites unter europa.eu betrieben werden. Drei Tage später, am 27. März, informierte sie die Öffentlichkeit. Erste Untersuchungsergebnisse bestätigen, dass Daten von diesen Webseiten gestohlen wurden. Die internen Systeme der Kommission seien laut eigenen Angaben nicht betroffen gewesen, und die Verfügbarkeit der Websites wurde nicht unterbrochen. Betroffene EU-Einrichtungen werden derzeit direkt benachrichtigt.

Read More