CVE-2022-38184
There is an improper access control vulnerability in Portal for ArcGIS versions 10.8.1
Em resumo
Portal for ArcGIS versão 10.8.1 e anteriores possuem uma falha que permite que atacantes não autorizados acessem uma API sem fazer login, podendo forçar o sistema a ler arquivos ou conteúdo de qualquer URL que o atacante especifique.
Detalhe técnico
Essa vulnerabilidade de controle de acesso impróprio (CWE-284) no Portal for ArcGIS ≤10.8.1 permite que atacantes remotos não autenticados acessem um endpoint de API desprotegido que viabiliza Server-Side Request Forgery (SSRF). O ataque não requer autenticação prévia e pode resultar na busca arbitrária de URLs pela aplicação afetada, potencialmente expondo recursos internos ou dados sensíveis.
Resumo gerado e traduzido por IA a partir da descrição oficial.
There is an improper access control vulnerability in Portal for ArcGIS versions 10.8.1 and below which could allow a remote, unauthenticated attacker to access an API that may induce Esri Portal for ArcGIS to read arbitrary URLs.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
Esri · Portal for ArcGISQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →