CVE-2024-51962

Опубликовано: 03 мар. 2025

Источник: nvd

CVSS3: 8.7

CVSS3: 9.6

EPSS Низкий

Описание

A SQL injection vulnerability in ArcGIS Server allows an EDIT operation to modify column properties in a manner that could lead to SQL injection when performed by a remote authenticated user requiring elevated, non‑administrative privileges. Exploitation is restricted to users with advanced application‑specific permissions, indicating high privileges are required. Successful exploitation would have a high impact on integrity and confidentiality, with no impact on availability.

Ссылки

https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-security-2025-update-1-patch/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:esri:arcgis_server:*:*:*:*:*:*:*:*

Версия от 10.9.1 (включая) до 11.3 (включая)

EPSS

Процентиль: 18%

0.00057

Низкий

8.7 High

CVSS3

9.6 Critical

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-g274-9873-jcxx

CVSS3: 8.7

github

11 месяцев назад

A SQL injection vulnerability in ArcGIS Server allows an EDIT operation to modify Column properties allowing for the execution of a SQL Injection by a remote authenticated user with elevated (non admin) privileges. There is a high impact to integrity and confidentiality and no impact to availability.

BDU:2025-02367

CVSS3: 8.7

fstec

12 месяцев назад

Уязвимость сервера ArcGIS Server, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

EPSS

Процентиль: 18%

0.00057

Низкий

8.7 High

CVSS3

9.6 Critical

CVSS3

Дефекты

CWE-89