CVE-2021-29096

ArcGIS general raster security update: use-after-free

CVSS 7.8 HIGHEPSS 1.5%CWE-416

En resumen

Una falla de memoria en las aplicaciones ArcGIS permite que un atacante ejecute código malicioso en tu computadora enviando un archivo especialmente preparado. Al abrir el archivo, el atacante obtiene los mismos accesos y permisos que tú.

Detalle técnico

Vulnerabilidad use-after-free en el análisis de archivos raster en ArcReader, ArcGIS Desktop, ArcGIS Engine ≤10.8.1 y ArcGIS Pro ≤2.7. La ejecución remota de código no autenticada se logra mediante un archivo maliciosamente construido que desencadena acceso a memoria liberada, permitiendo ejecución de código arbitrario en el contexto del usuario actual.

Resumen generado y traducido por IA a partir de la descripción oficial.

A use-after-free vulnerability when parsing a specially crafted file in Esri ArcReader, ArcGIS Desktop, ArcGIS Engine 10.8.1 (and earlier) and ArcGIS Pro 2.7 (and earlier) allows an unauthenticated attacker to achieve arbitrary code execution in the context of the current user.

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

Esri · ArcGIS Desktop Esri · ArcGIS Desktop Background Geoprocessing Esri · ArcGIS Engine Esri · ArcGIS Engine Background Geoprocessing Esri · ArcReader

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.esri.com/arcgis-blog/products/arcgis/administration/security-advisory-general-raster/https://www.zerodayinitiative.com/advisories/ZDI-21-370/