关键漏洞信息 漏洞概述 漏洞名称: Improper Access Control in Agent Enrollment Endpoint CVE ID: CVE-2025-64483 严重性: Moderate (CVSS v4 base metrics: 5.3/10) 影响范围 受影响版本: - wazuh-dashboard (deb): >=4.9.0 - wazuh-dashboard (rpm): >=4.9.0 修复版本: - wazuh-dashboard (deb): >=4.13.0 - wazuh-dashboard (rpm): >=4.13.0 关键问题 描述: 在某些配置中,具有只读API角色的认证用户可以通过 端点检索代理注册凭据。这些凭据可用于在同一Wazuh租户内注册新代理,而无需通过UI提升权限。 受影响组件: - 端点: GET /utils/configuration - 组件: Wazuh API - Agent Configuration - 影响版本: 确认在v4.11.2 (基于Docker的本地安装) 技术细节 拥有适当RBAC配置文件的认证用户可以访问配置API。该端点返回一个JSON负载,其中包含 和 字段,这些字段用于注册代理。 尽管用户界面缺少 权限,但这些凭据可以通过命令行或自动化脚本手动注册额外的代理。 证明概念 (PoC) 1. 以只读用户身份通过API认证。 2. 访问端点: GET /utils/configuration 3. 从响应中提取 和 。 4. 使用凭据通过标准部署工具(如Wazuh MSI安装程序与PowerShell)注册新代理。 影响 机密性: 通过代理注册不会暴露敏感信息。默认情况下,代理不会获得未授权的访问内部系统数据权限。 完整性: 注册代理会以有限、受控的方式来改变系统状态,并在预期使用场景中。 可用性: 不会发生服务中断。系统按预期继续运行。 缓解措施 未来版本将包括通过RBAC限制访问注册凭据的增强功能。 可以定期轮换或限制注册凭据的时间/IP窗口以最小化暴露。 默认角色和端点暴露审查正在进行中。 推荐 管理员应: - 通过精细化RBAC设置限制对配置端点的访问。 - 监控代理注册活动。 - 考虑注册密码轮换策略。