製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Wazuh Inc.のWazuhにおける複数の脆弱性

タイトル	Wazuh Inc.のWazuhにおける複数の脆弱性
概要	Wazuhは、脅威の予防、検出、および対応に使用される無料かつオープンソースのプラットフォームです。バージョン4.4.0から4.14.4未満のバージョンにおいて、Wazuhのクラスタ同期抽出ルーチンにパストラバーサルの脆弱性が存在し、認証されたクラスタピアが他のクラスタノード上の意図された抽出ディレクトリ外に任意のファイルを書き込むことが可能です。この脆弱性により、Wazuhコンポーネントによって読み込まれるPythonモジュールを上書きし、Wazuhサービスのコンテキスト内でコード実行をエスカレートできます（概念実証は別添として利用可能です）。クラスタデーモンが特権昇格された状態で実行されているデプロイメントでは、システムレベルの侵害が発生する可能性があります。この問題はバージョン4.14.4で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月29日0:00
登録日	2026年5月7日12:30
最終更新日	2026年5月7日12:30

CVSS3.0 : 緊急
スコア	9.9
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

影響を受けるシステム

Wazuh Inc.

Wazuh 4.4.0 以上 4.14.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-30893	https://www.cve.org/CVERecord?id=CVE-2026-30893
National Vulnerability Database (NVD)
2	CVE-2026-30893	https://nvd.nist.gov/vuln/detail/CVE-2026-30893

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html
2	CWE-73	https://cwe.mitre.org/data/definitions/73.html

ベンダー情報

No	名前	URL
GitHub
1	Wazuh cluster sync path traversal in decompress_files() enables arbitrary file write and code execution from authenticated cluster peer Advisory wazuh/wazuh GitHub	https://github.com/wazuh/wazuh/security/advisories/GHSA-m8rw-v4f6-8787

その他

No	名前	URL
関連文書
1	Release Wazuh v4.14.4 wazuh/wazuh GitHub	https://github.com/wazuh/wazuh/releases/tag/v4.14.4

変更履歴

No	変更内容	変更日
1	[2026年05月07日] 掲載	2026年5月7日12:30

NVD脆弱性情報

CVE-2026-30893

概要	Wazuh is a free and open source platform used for threat prevention, detection, and response. From version 4.4.0 to before version 4.14.4, a path traversal vulnerability in Wazuh's cluster synchronization extraction routine allows an authenticated cluster peer to write arbitrary files outside the intended extraction directory on other cluster nodes. This can be escalated to code execution in the Wazuh service context by overwriting Python modules loaded by Wazuh components (proof of concept available as separate attachment). In deployments where the cluster daemon runs with elevated privileges, system-level compromise is possible. This issue has been patched in version 4.14.4.
公表日	2026年4月30日4:16
登録日	2026年5月1日4:06
最終更新日	2026年5月1日0:11

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/wazuh/wazuh/releases/tag/v4.14.4	security-advisories@github.com
2	https://github.com/wazuh/wazuh/security/advisories/GHSA-m8rw-v4f6-8787	security-advisories@github.com
3	https://github.com/wazuh/wazuh/security/advisories/GHSA-m8rw-v4f6-8787	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html
2	CWE-73	ファイル名やパス名の外部制御	https://cwe.mitre.org/data/definitions/73.html