Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una consulta HTTP en Lightmeter ControlCenter (CVE-2021-3012)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
08/04/2021
Última modificación:
26/05/2021

Descripción

Una vulnerabilidad de tipo cross-site scripting (XSS) en el Document Link de los documentos en ESRI Enterprise anterior a la versión 10.9 permite a los usuarios remotos autentificados inyectar código JavaScript arbitrario a través de un atributo HTML malicioso como onerror (en el campo URL de la pestaña Parámetros)

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:esri:arcgis_enterprise:*:*:*:*:*:*:*:* 10.9 (excluyendo)