CVE-2021-29101
ArcGIS GeoEvent Server has a Directory Traversal security vulnerability.
Em resumo
O ArcGIS GeoEvent Server versão 10.8.1 e anteriores possuem uma falha que permite que atacantes remotos leiam qualquer arquivo no servidor sem fazer login. Um atacante pode manipular caminhos de arquivo para acessar informações sensíveis armazenadas no sistema.
Detalhe técnico
Um atacante remoto não autenticado pode explorar uma vulnerabilidade de travessia de diretório (CWE-23) no ArcGIS GeoEvent Server ≤10.8.1 para ler arquivos arbitrários manipulando sequências de travessia de caminho nas requisições. A vulnerabilidade é somente leitura, limitando modificação direta do sistema, mas permite divulgação de informações de arquivos sensíveis no servidor afetado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
ArcGIS GeoEvent Server versions 10.8.1 and below has a read-only directory path traversal vulnerability that could allow an unauthenticated, remote attacker to perform directory traversal attacks and read arbitrary files on the system.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Produtos afetados
Esri · ArcGIS GeoEvent ServerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →