CVE-2022-38184
There is an improper access control vulnerability in Portal for ArcGIS versions 10.8.1
En resumen
Portal for ArcGIS versión 10.8.1 e inferiores tienen una falla que permite a atacantes no autorizados acceder a una API sin iniciar sesión, lo que puede obligar al sistema a leer archivos o contenido de cualquier URL que especifique el atacante.
Detalle técnico
Esta vulnerabilidad de control de acceso impropio (CWE-284) en Portal for ArcGIS ≤10.8.1 permite que atacantes remotos no autenticados accedan a un endpoint de API desprotegido que habilita Server-Side Request Forgery (SSRF). El ataque no requiere autenticación previa y puede resultar en la obtención arbitraria de URLs por la aplicación afectada, exponiendo potencialmente recursos internos o datos sensibles.
Resumen generado y traducido por IA a partir de la descripción oficial.
There is an improper access control vulnerability in Portal for ArcGIS versions 10.8.1 and below which could allow a remote, unauthenticated attacker to access an API that may induce Esri Portal for ArcGIS to read arbitrary URLs.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
Esri · Portal for ArcGIS¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →