Esri已发布ArcGIS Server Security 2021 Update 2 Patch。此补丁解决了最近在 10.9、10.8.1、10.7.1 和 10.6.1 版本中发现的四个漏洞。与所有安全补丁一样,我们鼓励所有系统管理员尽早在相关系统上安装安全更新。
此补丁解决了一个高严重性漏洞和三个中等严重性漏洞。
我们提供通用漏洞评分系统 (CVSS) 分数,以使我们的客户能够更好地评估其运营中此漏洞的风险。提供基本分数和修改后的时间分数来反映官方补丁的可用性。有关这些指标定义的更多信息,请参阅通用漏洞评分系统。
Esri ArcGIS Server 10.9 及更早版本提供的功能服务中存在 SQL 注入漏洞,允许远程未经身份验证的攻击者通过特制的查询影响目标服务的机密性、完整性和可用性。
通用漏洞评分系统 (CVSS v3.1) 详情
3分基本成绩,6.0分临时成绩
修正级别:官方修正可用
信任声明:已获 Esri 批准
漏洞详情
CVE 即将发布 – SQL 注入 (SQLi) CWE-89 – CVSS 6.0
缓解措施:
默认情况下,发布到 ArcGIS Enterprise 的服务不 美国电话号码列表 可匿名使用,未经身份验证的攻击者无法访问。
通用漏洞评分系统 (CVSS v3.1) 详情
1 基本分数,5.2 临时分数
修正级别:官方修正可用
信任声明:已获 Esri 批准
漏洞详情
CVE 即将发布 – 跨站点脚本 (XSS) CWE-79 – CVSS 5.2
缓解措施:
默认情况下,发布到 ArcGIS Enterprise 的服务不 具有不可或缺的特性 可匿名使用,未经身份验证的攻击者无法访问。
3 基本要点,4.1 暂定要点
修正级别:官方修正可用
信任声明:已获 Esri 批准
漏洞详情
CVE 即将发布 – 信息泄露 CWE-200 – CVSS 4.1
缓解措施:
缓解此问题的选项包括保护托管要素服务和创 印度尼西亚号码列表 建的任何托管要素服务视图。
ArcGIS Server 帮助文档中的远程文件包含漏洞可能允许远程、未经身份验证的攻击者注入包含攻击者提供的 html 的页面。