David M. Chavez

**Nome do software vulnerável e versões afetadas** Diretório de serviços do Esri ArcGIS Server, versões 10.9.1 e anteriores **Descrição** O problema consiste em uma vulnerabilidade de cross-site scripting refletido que pode permitir que um invasor remoto e não autenticado convença um usuário a clicar em um link malicioso, executando potencialmente código JavaScript arbitrário no navegador da vítima. **Recomendações** Para o diretório de serviços do Esri ArcGIS Server nas versões 10.9.1 e anteriores, atualize para uma versão superior à 10.9.1 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Esri ArcGIS Server (versões afetadas não especificadas) **Descrição** Um problema de download remoto de arquivos pode ocorrer em alguns recursos dos serviços web do Esri ArcGIS Server, permitindo potencialmente que um invasor remoto e não autenticado induza uma vítima desavisada a iniciar um processo no ambiente PATH da vítima. Os navegadores atuais exibem avisos aos usuários contra a execução de executáveis não assinados baixados da internet. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.