CVE-2021-29101

ArcGIS GeoEvent Server has a Directory Traversal security vulnerability.

CVSS 8.6 HIGHEPSS 2.3%CWE-23

En resumen

ArcGIS GeoEvent Server versión 10.8.1 y anteriores tienen una falla que permite a atacantes remotos leer cualquier archivo en el servidor sin necesidad de autenticarse. Un atacante puede manipular rutas de archivo para acceder a información sensible almacenada en el sistema.

Detalle técnico

Un atacante remoto no autenticado puede explotar una vulnerabilidad de traversal de directorio (CWE-23) en ArcGIS GeoEvent Server ≤10.8.1 para leer archivos arbitrarios manipulando secuencias de traversal de ruta en las solicitudes. La vulnerabilidad es de solo lectura, limitando la modificación directa del sistema, pero permite la divulgación de información de archivos sensibles en el servidor afectado.

Resumen generado y traducido por IA a partir de la descripción oficial.

ArcGIS GeoEvent Server versions 10.8.1 and below has a read-only directory path traversal vulnerability that could allow an unauthenticated, remote attacker to perform directory traversal attacks and read arbitrary files on the system.

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Productos afectados

Esri · ArcGIS GeoEvent Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.esri.com/arcgis-blog/products/ext-server-geoevent/administration/arcgis-geoevent-server-security-update-2021-patch-1