Vulnerabilidad en el análisis de un archivo en el contexto del usuario actual en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine y ArcGIS Pro (CVE-2021-29097)
Severidad:
ALTA
Type:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
25/03/2021
Última modificación:
11/07/2024
Descripción
Múltiples vulnerabilidades de desbordamiento de búfer cuando se analiza un archivo especialmente diseñado en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine versiones 10.8.1 (y anteriores) y ArcGIS Pro versiones 2.7 (y anteriores), permiten a un atacante no autenticado lograr una ejecución de código arbitrario en el contexto del usuario actual
Impacto
Puntuación base 3.x
7.80
Severidad 3.x
ALTA
Puntuación base 2.0
6.80
Severidad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:esri:arcgis_engine:*:*:*:*:*:*:*:* | 10.8.1 (incluyendo) | |
cpe:2.3:a:esri:arcgis_pro:*:*:*:*:*:*:*:* | 2.7 (incluyendo) | |
cpe:2.3:a:esri:arcmap:*:*:*:*:*:*:*:* | 10.8.1 (incluyendo) | |
cpe:2.3:a:esri:arcreader:*:*:*:*:*:*:*:* | 10.8.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.esri.com/arcgis-blog/products/arcgis/administration/security-advisory-general-raster/
- https://www.zerodayinitiative.com/advisories/ZDI-21-360/
- https://www.zerodayinitiative.com/advisories/ZDI-21-363/
- https://www.zerodayinitiative.com/advisories/ZDI-21-364/
- https://www.zerodayinitiative.com/advisories/ZDI-21-365/
- https://www.zerodayinitiative.com/advisories/ZDI-21-367/
- https://www.zerodayinitiative.com/advisories/ZDI-21-368/
- https://www.zerodayinitiative.com/advisories/ZDI-21-369/
- https://www.zerodayinitiative.com/advisories/ZDI-21-371/