W Esri Portal for ArcGIS w wersjach 11.4 i starszych wykryto podatność polegającą na obecności zakodowanych na stałe danych uwierzytelniających (hardcoded credentials). Niezautoryzowany zdalny atakujący może wykorzystać tę lukę do uzyskania pełnego dostępu administracyjnego do systemu.
▸ Pokaż oryginał (EN)
A hardcoded credential vulnerability exists in a specific deployment pattern for Esri Portal for ArcGIS versions 11.4 and below that may allow a remote unauthenticated attacker to gain administrative access to the system.
Podatność (CWE-798) wynika z obecności statycznych, zakodowanych na stałe danych uwierzytelniających osadzonych w aplikacji w ramach określonego wzorca wdrożenia. Atakujący posiadający wiedzę o tych danych może uwierzytelnić się bez posiadania legalnych poświadczeń, całkowicie omijając mechanizmy kontroli dostępu. Podatność jest dostępna zdalnie, nie wymaga żadnej wcześniejszej autoryzacji ani interakcji po stronie użytkownika.
Atakujący może uzyskać pełny dostęp administracyjny do systemu Esri Portal for ArcGIS, co umożliwia przejęcie kontroli nad zasobami platformy, ujawnienie lub modyfikację danych oraz potencjalne dalsze działania w infrastrukturze organizacji.
Należy zastosować oficjalną łatkę bezpieczeństwa producenta: Portal for ArcGIS Security 2025 Update 3 Patch, dostępną pod adresem: https://support.esri.com/en-us/patches-updates/2025/portal-for-arcgis-security-2025-update-3-patch
Esri Portal for ArcGIS w wersjach 11.4 i starszych, przy określonym wzorcu wdrożenia (specific deployment pattern).
Podatność dotyczy wyłącznie określonego wzorca wdrożenia (specific deployment pattern) — nie wszystkie instalacje Esri Portal for ArcGIS mogą być podatne. Zaleca się weryfikację konfiguracji wdrożenia zgodnie z wytycznymi producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HEsri Portal For Arcgis
APPEsri≤ 11.4
Powiązane podatności
Błędne przypisanie uprawnień w Esri Portal for ArcGIS 11.5
Nieprawidłowa autoryzacja w Esri Portal for ArcGIS — obejście uprawnień
SSRF Protection Bypass w Esri Portal for ArcGIS 11.4 i wcześniejszych
Path Traversal w Esri Portal for ArcGIS umożliwiający RCE
There is a local file inclusion vulnerability in Esri Portal for ArcGIS 11.2 and below that may allow a remote...