Vulnerabilidad en Esri ArcGIS Monitor (CVE-2025-1726)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

26/02/2025

Última modificación:

26/02/2025

Descripción

Existe un problema de inyección SQL en las versiones 2023.0 a 2024.x de Esri ArcGIS Monitor en Windows y Linux que permite que un atacante remoto autenticado con privilegios bajos lea de forma incorrecta información limitada del esquema de la base de datos mediante consultas manipuladas. Si bien es posible enumerar algunos identificadores de base de datos internos, el impacto en el vector de confidencialidad es "BAJO" porque cualquier dato confidencial devuelto en una respuesta está cifrado. No hay evidencia de impacto en los vectores de integridad o disponibilidad. Este problema se soluciona en ArcGIS Monitor 2024.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.esri.com/arcgis-blog/products/monitor/administration/whats-new-in-arcgis-monitor-2024-1/