PT-2021-5165 · Esri · Esri Arcgis Server
Publicado
2021-09-23
·
Atualizado
2022-03-30
·
CVE-2021-29114
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Esri ArcGIS Server versões 10.9 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL nos serviços de recursos fornecidos pelo Esri ArcGIS Server. Essa vulnerabilidade pode permitir que um invasor remoto e não autenticado comprometa a confidencialidade, a integridade e a disponibilidade dos serviços visados por meio de consultas especificamente criadas. A vulnerabilidade está associada à falta de proteção contra a exploração da estrutura de consultas SQL.
Recomendações
Para as versões 10.9 e anteriores do Esri ArcGIS Server, considere atualizar para uma versão superior à 10.9 para resolver o problema. Como solução alternativa temporária, restrinja o acesso aos serviços de recursos para minimizar o risco de exploração. Evite usar consultas criadas especificamente nos serviços de recursos afetados até que o problema seja resolvido. No momento, não há informações sobre medidas de mitigação adicionais.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Esri Arcgis Server