⚠️ یک آسیب‌پذیری جدی در Wazuh (نسخه‌های 4.4.0 تا 4.9.0) کشف شده که به دلیل سریال‌سازی ناامن در API توزیع‌شده (DAPI) امکان اجرای کد دلخواه را به مهاجم می‌دهد. این مشکل در تابع as\_wazuh\_object و استفاده از eval ناامن رخ می‌دهد. 🔍 مهاجم با دسترسی به API می‌تواند با تزریق دیکشنری مخرب، دسترسی اجرای کد از راه دور را برای خود فراهم کند. ریسک این آسیب‌پذیری با امتیاز CVSS 9.9 حیاتی در نظر گرفته شده است. 🛠️ در نسخه 4.9.1 این مشکل از طریق جایگزینی eval با ast.literal\_eval برطرف شده است. ✅ توصیه می‌گردد در اسرع وقت به نسخه 4.9.1 ارتقا دهید. همچنین در صورت امکان دسترسی API را محدود کرده و احراز هویت قوی اعمال کنید.