CVE-2024-25693

Portal for ArcGIS has a directory traversal vulnerability.

CVSS 9.9 CRITICALEPSS 1.3%CWE-22

En resumen

Portal for ArcGIS permite que usuarios autenticados eludan restricciones de carpetas y accedan a archivos en cualquier lugar del servidor usando rutas especialmente manipuladas. Esto es crítico porque los atacantes pueden leer archivos sensibles o ejecutar código malicioso.

Detalle técnico

Una vulnerabilidad de traversal de directorios en Portal for ArcGIS (≤11.2) permite que atacantes autenticados escapen de límites de directorios mediante manipulación de rutas, posibilitando acceso no autorizado al sistema de archivos y potencial ejecución arbitraria de código. La vulnerabilidad requiere credenciales válidas pero permite eludir controles de acceso previstos mediante secuencias de ruta relativa o absoluta.

Resumen generado y traducido por IA a partir de la descripción oficial.

There is a path traversal in Esri Portal for ArcGIS versions <= 11.2. Successful exploitation may allow a remote, authenticated attacker to traverse the file system to access files or execute code outside of the intended directory.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Productos afectados

Esri · Portal for ArcGIS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/