В Esri ArcGIS Pro версии 3.6.0 и более ранних версиях существует проблема с межсайтовым выполнением сценариев. Локальный злоумышленник может передать в ArcGIS Pro вредоносные строки, которые могут выполняться при открытии определенного диалогового окна. Эта проблема исправлена в ArcGIS Pro 3.6.1.
Показать оригинальное описание (EN)
There is a Cross Site Scripting issue in Esri ArcGIS Pro versions 3.6.0 and earlier. A local attacker could supply malicious strings into ArcGIS Pro which may execute when a specific dialog is opened. This issue is fixed in ArcGIS Pro 3.6.1.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1