CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 3CVE-2021-26814
https://notcve.org/view.php?id=CVE-2021-26814
Wazuh API in Wazuh from 4.0.0 to 4.0.3 allows authenticated users to execute arbitrary code with administrative privileges via /manager/files URI. An authenticated user to the service may exploit incomplete input validation on the /manager/files API to inject arbitrary code within the API service script. La API de Wazuh en Wazuh desde versiones 4.0.0 hasta 4.0.3, permite a usuarios autenticados ejecutar código arbitrario con privilegios administrativos por medio del URI /manager/files. Un usuario autenticado en el servicio puede explotar una comprobación incompleta de entrada en la API /manager/files para inyectar código arbitrario dentro del script del servicio de la API • https://github.com/WickdDavid/CVE-2021-26814 https://github.com/CYS4srl/CVE-2021-26814 https://github.com/paolorabbito/Internet-Security-Project---CVE-2021-26814 https://documentation.wazuh.com/4.0/release-notes/release_4_0_4.html https://github.com/wazuh/wazuh/releases/tag/v4.0.4 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •