CVE-2022-38196
BUG-000150537 - ArcGIS Server has a local file inclusion (LFI) vulnerability
En resumen
ArcGIS Server permite que usuarios autenticados eludan protecciones de directorio y sobrescriban archivos internos, pudiendo interrumpir el servicio. El problema ocurre porque la aplicación no valida adecuadamente las rutas de archivo proporcionadas.
Detalle técnico
Una vulnerabilidad de path traversal en ArcGIS Server versión 10.9.1 y anteriores permite que atacantes autenticados manipulen rutas de archivo utilizando secuencias de travesía de directorio, posibilitando la sobrescrita arbitraria de archivos en los directorios de ArcGIS Server. La vulnerabilidad requiere autenticación previa y resulta en denegación de servicio mediante la corrupción de archivos internos críticos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Esri ArcGIS Server versions 10.9.1 and prior have a path traversal vulnerability that may result in a denial of service by allowing a remote, authenticated attacker to overwrite internal ArcGIS Server directory.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
Productos afectados
Esri · ArcGIS Server¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →