CVE-2025-62790

Опубликовано: 29 окт. 2025

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

Wazuh is a free and open source platform used for threat prevention, detection, and response. Prior to 4.11.0, fim_fetch_attributes_state() implementation does not check whether time_string is NULL or not before calling strlen() on it. A compromised agent can cause a crash of analysisd by sending a specially crafted message to the wazuh manager. An attacker who is able to craft and send an agent message to the wazuh manager can cause analysisd to crash and make it unavailable. This vulnerability is fixed in 4.11.0.

Ссылки

https://github.com/wazuh/wazuh/security/advisories/GHSA-9xj3-vc52-48p9
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:wazuh:wazuh:*:*:*:*:*:*:*:*

Версия до 4.11.0 (исключая)

EPSS

Процентиль: 27%

0.00094

Низкий

7.5 High

CVSS3

Дефекты

CWE-252

Связанные уязвимости

BDU:2025-14488

CVSS3: 5.3

fstec

около 1 года назад

Уязвимость функции fim_fetch_attributes_state() системы обнаружения и предотвращения вторжений Wazuh, позволяющая нарушителю вызвать отказ в обслуживании