PT-2021-18611 · Esri · Esri Enterprise
Publicado
2021-04-08
·
Atualizado
2021-05-26
·
CVE-2021-3012
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do ESRI Enterprise anteriores à 10.9
Descrição
Uma vulnerabilidade de cross-site scripting permite que usuários remotos autenticados injetem código JavaScript arbitrário por meio de um atributo HTML malicioso, como
onerror, no campo URL da guia Parâmetros do Link do Documento.Recomendações
Para versões anteriores à 10.9, atualize para a versão 10.9 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso “Document Link” até que um patch esteja disponível. Evite usar atributos HTML maliciosos, como
onerror, no campo URL da guia “Parâmetros” para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Esri Enterprise