CVE-2021-29100

ArcGIS Earth has a File Parsing Directory Traversal Vulnerability

CVSS 7.8 HIGHEPSS 1.1%CWE-23

Em resumo

O ArcGIS Earth permite que atacantes criem arquivos em qualquer lugar do seu computador ao enganá-lo para abrir um arquivo manipulado. Isso poderia permitir a execução de código malicioso com suas permissões.

Detalhe técnico

Vulnerabilidade de travessia de diretório no ArcGIS Earth ≤1.11.0 permite criação de arquivo arbitrário durante análise de entrada. Vetor de ataque requer interação do usuário (upload/abertura de arquivo); exploração bem-sucedida habilita execução arbitrária de código no contexto do usuário afetado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A path traversal vulnerability exists in Esri ArcGIS Earth versions 1.11.0 and below which allows arbitrary file creation on an affected system through crafted input. An attacker could exploit this vulnerability to gain arbitrary code execution under security context of the user running ArcGIS Earth by inducing the user to upload a crafted file to an affected system.

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Produtos afetados

Esri · ArcGIS Earth

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.esri.com/arcgis-blog/products/arcgis-earth/administration/arcgis-earth-security-update