Une faille de sécurité critique, associée à la référence CVE-2026-30893 et affichant un score CVSS de 9.9, a été révélée récemment au sein de Wazuh. Quels sont les risques ? Comment se protéger ? Voici l’essentiel à savoir.
Ce que l’on sait à propos de la CVE-2026-30893
La plateforme open source Wazuh est affectée par une faille de sécurité critique : CVE-2026-30893. De type “path traversal”, cette vulnérabilité se situe au niveau de la routine d’extraction utilisée pour la synchronisation des clusters. En pratique, elle permet à un pair du cluster (qui doit être authentifié), d’écrire des fichiers arbitraires sur d’autres nœuds du cluster. L’écriture s’effectue en dehors du répertoire d’extraction initialement prévu par le système.
“Cette faille peut conduire à l’exécution de code dans le contexte du service Wazuh en écrasant les modules Python chargés par les composants de Wazuh (PoC disponible en pièce jointe séparée).”, précise le bulletin de sécurité daté du 29 avril 2026. Dans le cas où le service associé au cluster est exécuté avec des privilèges élevés, cette vulnérabilité peut permettre de compromettre l’hôte.
Cette vulnérabilité affecte les serveurs Wazuh de la version 4.4.0 jusqu’aux versions antérieures à la 4.14.4. Autrement dit, c’est bien la mise à jour 4.14.4 pour le serveur Wazuh qui corrige ce problème de sécurité (ou une version plus récente).
La France sur le podium des instances exposées
D’après les statistiques recensées par la Shadowserver Foundation et en appliquant un filtre spécifique à cette vulnérabilité, de nombreuses instances exposées seraient vulnérables à cette faille de sécurité. Néanmoins, vous l’aurez compris, l’exploitation est possible uniquement dans un contexte spécifique. Les nœuds qui ne sont pas membres d’un cluster ou ceux où le mode cluster est désactivé ne sont pas vulnérables même s’ils ne sont pas à jour.
Voici le top 3 des pays recensant le plus de serveurs Wazuh potentiellement vulnérables à la CVE-2026-30893 :
États-Unis : 789 instances
Allemagne : 428 instances
France : 404 instances
Au total, en date du 12 mai 2026, la Shadowserver Foundation dénombre environ 3 500 adresses IP associées à des serveurs Wazuh potentiellement vulnérables.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.