CVE-2022-38196
BUG-000150537 - ArcGIS Server has a local file inclusion (LFI) vulnerability
Em resumo
ArcGIS Server permite que usuários autenticados contornem proteções de diretório e sobrescrevam arquivos internos, podendo derrubar o serviço. O problema ocorre porque a aplicação não valida adequadamente os caminhos de arquivo fornecidos.
Detalhe técnico
Uma vulnerabilidade de path traversal no ArcGIS Server versão 10.9.1 e anteriores permite que atacantes autenticados manipulem caminhos de arquivo usando sequências de travessia de diretório, possibilitando sobrescrita arbitrária de arquivos nos diretórios do ArcGIS Server. A vulnerabilidade requer autenticação prévia e resulta em negação de serviço através da corrupção de arquivos internos críticos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Esri ArcGIS Server versions 10.9.1 and prior have a path traversal vulnerability that may result in a denial of service by allowing a remote, authenticated attacker to overwrite internal ArcGIS Server directory.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
Produtos afetados
Esri · ArcGIS ServerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →