CVE-2022-38202

BUG-000152121 - Directory traversal vulnerability in ArcGIS Server.

CVSS 7.5 HIGHEPSS 1.3%CWE-23

En resumen

Las versiones de ArcGIS Server 10.9.1 y anteriores contienen un fallo de travesía de directorios que permite a atacantes acceder a archivos fuera del directorio previsto sin autenticación. Esto podría exponer información sensible de configuración del servidor.

Detalle técnico

Una vulnerabilidad de path traversal (CWE-23) en ArcGIS Server ≤10.9.1 permite que atacantes remotos no autenticados manipulen rutas de archivo y lean archivos arbitrarios en el servidor. La vulnerabilidad permite la divulgación de datos sensibles de configuración mediante solicitudes HTTP que eluden restricciones de directorios.

Resumen generado y traducido por IA a partir de la descripción oficial.

There is a path traversal vulnerability in Esri ArcGIS Server versions 10.9.1 and below. Successful exploitation may allow a remote, unauthenticated attacker traverse the file system to access files outside of the intended directory on ArcGIS Server. This could lead to the disclosure of sensitive site configuration information (not user datasets).

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

Esri · ArcGIS Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-security-2022-update-2-patch-is-now-available