CVE-2024-25693

Portal for ArcGIS has a directory traversal vulnerability.

CVSS 9.9 CRITICALEPSS 1.3%CWE-22

Em resumo

O Portal for ArcGIS permite que usuários autenticados contornem restrições de pastas e acessem arquivos em qualquer lugar do servidor usando caminhos especialmente criados. Isso é crítico porque os invasores podem ler arquivos sensíveis ou executar código malicioso.

Detalhe técnico

Uma vulnerabilidade de travessia de diretório no Portal for ArcGIS (≤11.2) permite que invasores autenticados escapem dos limites de diretórios usando manipulação de caminhos, possibilitando acesso não autorizado ao sistema de arquivos e possível execução arbitrária de código. A vulnerabilidade requer credenciais válidas, mas permite contornar controles de acesso intencionais através de sequências de caminho relativo ou absoluto.

Resumo gerado e traduzido por IA a partir da descrição oficial.

There is a path traversal in Esri Portal for ArcGIS versions <= 11.2. Successful exploitation may allow a remote, authenticated attacker to traverse the file system to access files or execute code outside of the intended directory.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Produtos afetados

Esri · Portal for ArcGIS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/