CRITICAL✓ PATCH🇬🇧 English

CVE-2025-2538

Hardcoded credentials w Esri Portal for ArcGIS umożliwiają zdalny dostęp administracyjny

CVSS 9.8v3.1pub. 2025-03-20upd. 2025-12-10

W Esri Portal for ArcGIS w wersjach 11.4 i starszych wykryto podatność polegającą na obecności zakodowanych na stałe danych uwierzytelniających (hardcoded credentials). Niezautoryzowany zdalny atakujący może wykorzystać tę lukę do uzyskania pełnego dostępu administracyjnego do systemu.

Pokaż oryginał (EN)

A hardcoded credential vulnerability exists in a specific deployment pattern for Esri Portal for ArcGIS versions 11.4 and below that may allow a remote unauthenticated attacker to gain administrative access to the system.

🤖 Analiza AI
Jak działa

Podatność (CWE-798) wynika z obecności statycznych, zakodowanych na stałe danych uwierzytelniających osadzonych w aplikacji w ramach określonego wzorca wdrożenia. Atakujący posiadający wiedzę o tych danych może uwierzytelnić się bez posiadania legalnych poświadczeń, całkowicie omijając mechanizmy kontroli dostępu. Podatność jest dostępna zdalnie, nie wymaga żadnej wcześniejszej autoryzacji ani interakcji po stronie użytkownika.

Skutki

Atakujący może uzyskać pełny dostęp administracyjny do systemu Esri Portal for ArcGIS, co umożliwia przejęcie kontroli nad zasobami platformy, ujawnienie lub modyfikację danych oraz potencjalne dalsze działania w infrastrukturze organizacji.

Mitygacja

Należy zastosować oficjalną łatkę bezpieczeństwa producenta: Portal for ArcGIS Security 2025 Update 3 Patch, dostępną pod adresem: https://support.esri.com/en-us/patches-updates/2025/portal-for-arcgis-security-2025-update-3-patch

Kogo dotyczy

Esri Portal for ArcGIS w wersjach 11.4 i starszych, przy określonym wzorcu wdrożenia (specific deployment pattern).

Uwagi

Podatność dotyczy wyłącznie określonego wzorca wdrożenia (specific deployment pattern) — nie wszystkie instalacje Esri Portal for ArcGIS mogą być podatne. Zaleca się weryfikację konfiguracji wdrożenia zgodnie z wytycznymi producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Esri Portal For Arcgis

    APP
    Esri
    ≤ 11.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-33518CRITICAL9.8PL ✓ten sam produkt

Błędne przypisanie uprawnień w Esri Portal for ArcGIS 11.5

CVE-2026-33519CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowa autoryzacja w Esri Portal for ArcGIS — obejście uprawnień

CVE-2025-4967CRITICAL9.1PL ✓ten sam produkt

SSRF Protection Bypass w Esri Portal for ArcGIS 11.4 i wcześniejszych

CVE-2024-25693CRITICAL9.9PL ✓ten sam produkt

Path Traversal w Esri Portal for ArcGIS umożliwiający RCE

CVE-2024-38040HIGH7.5ten sam produkt

There is a local file inclusion vulnerability in Esri Portal for ArcGIS 11.2 and below that may allow a remote...

CVE-2025-2538 — Hardcoded credentials w Esri Portal for ArcGIS umożliwiają zdalny dostęp administracyjny — CRITICAL 9.8 | CVEbaza.pl