← voltar
CVE-2021-29098

ArcGIS general raster security update: uninitialized pointer

CVSS 7.8 HIGHEPSS 2.0%CWE-824
Em resumo

Produtos ArcGIS têm falhas em ponteiros não inicializados que podem ser acionadas ao abrir um arquivo malicioso, permitindo que atacantes executem código arbitrário no computador da vítima sem autenticação.

Detalhe técnico

Múltiplas vulnerabilidades de ponteiro não inicializado existem na análise de arquivo raster em ArcReader, ArcGIS Desktop, ArcGIS Engine 10.8.1 e versões anteriores, e ArcGIS Pro 2.7 e versões anteriores. Um atacante não autenticado pode criar um arquivo raster especialmente manipulado para explorar essas falhas de corrupção de memória, alcançando execução arbitrária de código com os privilégios do usuário atual. Nenhuma autenticação ou privilégio especial é necessário; a exploração requer apenas convencer um usuário a abrir o arquivo malicioso.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Multiple uninitialized pointer vulnerabilities when parsing a specially crafted file in Esri ArcReader, ArcGIS Desktop, ArcGIS Engine 10.8.1 (and earlier) and ArcGIS Pro 2.7 (and earlier) allow an unauthenticated attacker to achieve arbitrary code execution in the context of the current user.
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Esri · ArcGIS DesktopEsri · ArcGIS Desktop Background GeoprocessingEsri · ArcGIS EngineEsri · ArcGIS ProEsri · ArcReader

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.esri.com/arcgis-blog/products/arcgis/administration/security-advisory-general-raster/https://www.zerodayinitiative.com/advisories/ZDI-21-361/https://www.zerodayinitiative.com/advisories/ZDI-21-362/https://www.zerodayinitiative.com/advisories/ZDI-21-372/