Wereldwijd zijn er meer dan 3500 Wazuh-servers, waaronder 76 in Nederland, die een beveiligingsupdate voor een kritiek path traversal-lek missen, waardoor aanvallers in het ergste geval volledige controle over het systeem kunnen krijgen. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. Wazuh is een gratis open source beveiligingsplatform gebruikt voor het voorkomen en detecteren van dreigingen en incidentrespons. Volgens de ontwikkelaars combineert het XDR (Extended Detection and Response) en SIEM (Security Information and Event Management).

De kwetsbaarheid (CVE-2026-30893) maakt het mogelijk voor een aanvaller om door middel van path traversal naar willekeurige bestanden op andere cluster nodes te schrijven. Een aanvaller kan zo de Python-modules overschrijven waar Wazuh gebruik van maakt, wat kan leiden tot het uitvoeren van code. Op servers waar de cluster daemons met verhoogde rechten draaien kan daardoor het volledige systeem worden gecompromitteerd. De aanval is mogelijk vanaf een geauthenticeerde cluster peer.

Op 17 maart verscheen versie 4.14.4 waarin het probleem is verholpen. Twee weken geleden werd de kwetsbaarheid bekendgemaakt. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het deed een online scan naar Wazuh-servers die nog voor CVE-2026-30893 kwetsbaar zijn. Dat leverde meer dan 3500 servers op, waarvan er 76 zich in Nederland bevinden. Beheerders worden opgeroepen om naar de nieuwste versie te updaten. Een andere Wazuh-kwetsbaarheid werd vorig jaar nog door verschillende botnets misbruikt.