CVE-2013-7232
https://notcve.org/view.php?id=CVE-2013-7232
SQL injection vulnerability in ESRI ArcGIS for Server through 10.2 allows remote attackers to execute arbitrary SQL commands via unspecified input to the map or feature service. Vulnerabilidad de inyección SQL en ESRI ArcGIS Server a hasta 10.2, permite a atacantes remotos ejecutar comandos SQL a través de la entrada no especificada en el mapa o en servicio características • http://support.esri.com/en/downloads/patches-servicepacks/view/productid/66/metaid/2009 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2013-5221
https://notcve.org/view.php?id=CVE-2013-5221
The mobile-upload feature in Esri ArcGIS for Server 10.1 through 10.2 allows remote authenticated users to upload .exe files by leveraging (1) publisher or (2) administrator privileges. La funcionalidad "mobile-upload" en Esri ArcGIS para Server v10.1 hasta v10.2 permite a los usuarios autenticados remotamente subir ficheros .exe aprovechando privilegios de editor o administrador. • http://support.esri.com/en/downloads/patches-servicepacks/view/productid/66/metaid/2009 http://support.esri.com/en/knowledgebase/techarticles/detail/41497 • CWE-20: Improper Input Validation •
CVE-2012-4949 – ESRI ArcGIS for Server - 'where' SQL Injection
https://notcve.org/view.php?id=CVE-2012-4949
SQL injection vulnerability in ESRI ArcGIS 10.1 allows remote authenticated users to execute arbitrary SQL commands via the where parameter to a query URI for a REST service. Una vulnerabilidad de inyección SQL en ArcGIS v10.1 permite a usuarios remotos autenticados ejecutar comandos SQL de su elección a través del parámetro 'where' a una URI de consulta de un servicio REST. • https://www.exploit-db.com/exploits/38016 http://www.kb.cert.org/vuls/id/795644 https://exchange.xforce.ibmcloud.com/vulnerabilities/79977 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2012-1661 – ESRI ArcGIS 10.0.x / ArcMap 9 - Arbitrary Code Execution
https://notcve.org/view.php?id=CVE-2012-1661
ESRI ArcMap 9 and ArcGIS 10.0.2.3200 and earlier does not properly prompt users before executing embedded VBA macros, which allows user-assisted remote attackers to execute arbitrary VBA code via a crafted map (.mxd) file. ESRI ArcMap v9 y ArcGIS v10.0.2.3200 y anteriores no pregunta a los usuarios antes de antes de ejecutar macros VBA incrustados, lo que permite a usuarios remotos con la ayuda de usuarios locales ejecutar código de su elección a través de código VBA a través de fichero de mapas (.MXD) modificados a mano. ESRI ArcMap suffers from an arbitrary code execution vulnerability when handling a specially crafted map file. • https://www.exploit-db.com/exploits/19138 http://packetstormsecurity.org/files/113644/ESRI-ArcMap-Arbitrary-Code-Execution.html http://www.cs.umb.edu/~joecohen/exploits/CVE-2012-1661 http://www.exploit-db.com/exploits/19138 http://www.osvdb.org/82986 http://www.securitytracker.com/id?1027170 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2007-4278
https://notcve.org/view.php?id=CVE-2007-4278
Stack-based buffer overflow in the giomgr process in ESRI ArcSDE service 9.2, as used with ArcGIS, allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a large number that requires more than 8 bytes to represent in ASCII, which triggers the overflow in an sprintf function call. Un desbordamiento de búfer en la región stack de la memoria en el proceso giomgr en servicio ESRI ArcSDE versión 9.2, tal y como es usado con ArcGIS, permite a atacantes remotos causar una denegación de servicio (bloqueo de aplicación) y posiblemente ejecutar código arbitrario por medio de un número largo que requiere más de 8 bytes para representarlo en ASCII, lo que desencadena un desbordamiento en una llamada de función sprintf. • http://downloads.esri.com/support/downloads/other_/ArcSDE-92sp3-issues.htm http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=577 http://secunia.com/advisories/26452 http://securitytracker.com/id?1018574 http://www.securityfocus.com/bid/25334 http://www.vupen.com/english/advisories/2007/2911 https://exchange.xforce.ibmcloud.com/vulnerabilities/36042 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •