在 Wazuh 服务器中发现了一个严重的远程代码执行（RCE）漏洞，Wazuh 服务器是一个广受欢迎的开源安全平台，用于威胁检测和合规性监控。

该漏洞被标识为 CVE-2025-24016，这一缺陷使得拥有应用程序编程接口（API）访问权限的攻击者能够在服务器上执行任意 Python 代码，对受影响的系统构成了重大威胁。该漏洞的通用漏洞评分系统（CVSS）评分为 9.9，表明其严重程度极高。

问题源于 Wazuh API 的DistributedAPI 组件中存在不安全的反序列化操作。具体而言，以 JSON 格式序列化的参数是通过文件中的函数进行反序列化的。

攻击者可以通过向分布式 API（DAPI）请求或响应中注入未经清理的字典来利用此漏洞，从而实现任意代码的执行。

一个值得注意的攻击途径涉及到特定端点，攻击者可以在该端点处操纵参数来构造恶意请求。

这些请求可能会导致在主服务器上执行任意代码。此外，在某些配置下，被攻陷的 Wazuh 代理可以通过向 API 请求中注入恶意负载来利用此漏洞。

受影响的版本

1.存在漏洞的版本：Wazuh 管理器 4.4.0 版本至 4.9.0 版本。

2.已修复的版本：9.1 版本及更高版本。

该漏洞使得攻击者能够：

1.远程执行任意 Python 代码。

2.关闭或控制 Wazuh 服务器。

3.利用被攻陷的代理在集群内传播攻击。

此类攻击可能会破坏系统的完整性、可用性和保密性，对于依赖 Wazuh 进行安全监控的组织来说，这是一个关键问题。

一个公开可用的概念验证（PoC）展示了攻击者如何通过发送精心构造的 JSON 负载（通过 API 请求发送）来利用此漏洞。例如，对终端节点的恶意请求可以注入未经清理的异常（），从而触发任意代码的执行。

缓解措施

为解决此漏洞：

1.立即升级：更新到 Wazuh 4.9.1 版本或更高版本，该版本已修复此问题。

2.限制 API 访问：将 API 访问限制在受信任的网络内，并实施严格的身份验证措施。

3.监控日志：定期检查日志中是否存在可疑活动，例如不寻常的 API 调用或未经授权的访问尝试。

4.强化代理配置：确保 Wazuh 代理的安全，以防止通过被攻陷的端点进行利用。

强烈敦促各组织迅速实施这些措施，以降低潜在的被利用风险，并保护其基础设施免受利用 CVE-2025-24016 漏洞的攻击者的侵害。