CVE-2021-29114

SQL injection vulnerability in ArcGIS Server

CVSS 7.3 HIGHEPSS 1.0%CWE-89

En resumen

ArcGIS Server versión 10.9 y anteriores contienen una falla de inyección SQL en sus servicios de features que permite a atacantes no autenticados robar, modificar o eliminar información de la base de datos mediante consultas especialmente diseñadas.

Detalle técnico

Vulnerabilidad de inyección SQL en los servicios de features de ArcGIS Server (v10.9 y anteriores) que permite a atacantes remotos no autenticados ejecutar comandos SQL arbitrarios a través de consultas maliciosamente elaboradas, comprometiendo confidencialidad, integridad y disponibilidad de las bases de datos de back-end.

Resumen generado y traducido por IA a partir de la descripción oficial.

A SQL injection vulnerability in feature services provided by Esri ArcGIS Server 10.9 and below allows a remote, unauthenticated attacker to impact the confidentiality, integrity and availability of targeted services via specifically crafted queries.

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Productos afectados

Esri · ArcGIS Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/arcgis-server-security-2021-update-2-patch-is-now-available