Vulnerabilidad en el análisis de un archivo en el contexto del usuario actual en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine y ArcGIS Pro (CVE-2021-29098)
Severidad:
ALTA
Type:
CWE-824
Acceso a puntero no inicializado
Fecha de publicación:
25/03/2021
Última modificación:
11/07/2024
Descripción
Múltiples vulnerabilidades de puntero no inicializado cuando se analiza un archivo especialmente diseñado en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine versiones 10.8.1 (y anteriores) y ArcGIS Pro versiones 2.7 (y anteriores), permiten a un atacante no autenticado lograr una ejecución de código arbitrario en el contexto del usuario actual
Impacto
Puntuación base 3.x
7.80
Severidad 3.x
ALTA
Puntuación base 2.0
6.80
Severidad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:esri:arcgis_engine:*:*:*:*:*:*:*:* | 10.8.1 (incluyendo) | |
cpe:2.3:a:esri:arcgis_pro:*:*:*:*:*:*:*:* | 2.7 (incluyendo) | |
cpe:2.3:a:esri:arcmap:*:*:*:*:*:*:*:* | 10.8.1 (incluyendo) | |
cpe:2.3:a:esri:arcreader:*:*:*:*:*:*:*:* | 10.8.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página