Informazioni sul CVE-2024-25701
BUG-000160765 – Stored XSS in ArcGIS Experience Builder
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-25701
Descrizione: “Esistenza di una vulnerabilità di Cross-site Scripting in Esri Portal for ArcGIS Enterprise Experience Builder versioni 10.8.1 – 11.1 che potrebbe consentire a un attaccante remoto autenticato di creare un link fabbricato che viene memorizzato nel widget Embed della Experience Builder. Quando viene caricato, questo potrebbe potenzialmente eseguire codice JavaScript arbitrario nel browser della vittima. I privilegi necessari per eseguire questo attacco sono elevati. L’attacco potrebbe rivelare un token privilegiato che potrebbe consentire all’attaccante di ottenere il controllo completo del Portal.”
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Esri – Portal for ArcGIS Enterprise Experience Builder
Relazioni con altri prodotti
Produttore:Esri
Prodotto: Portal for ArcGIS Enterprise Experience Builder
Anno: 2024
CWE: CWE-79
CVSS: 0.0