CRITICAL✓ PATCH🇬🇧 English

CVE-2025-57870

SQL Injection w Esri ArcGIS Server — zdalny dostęp bez uwierzytelnienia

CVSS 10.0v3.1pub. 2025-10-22upd. 2025-10-31

Krytyczna podatność typu SQL Injection w Esri ArcGIS Server pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnych poleceń SQL. Zagrożone są wersje 11.3, 11.4 i 11.5 działające na platformach Windows, Linux oraz Kubernetes.

Pokaż oryginał (EN)

A SQL Injection vulnerability exists in Esri ArcGIS Server versions 11.3, 11.4 and 11.5 on Windows, Linux and Kubernetes. This vulnerability allows a remote, unauthenticated attacker to execute arbitrary SQL commands via a specific ArcGIS Feature Service operation. Successful exploitation can potentially result in unauthorized access, modification, or deletion of data from the underlying Enterprise Geodatabase.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie do konkretnej operacji ArcGIS Feature Service, wstrzykując złośliwe polecenia SQL bez konieczności posiadania jakichkolwiek uprawnień. Podatność ma wektor sieciowy (AV:N), nie wymaga interakcji użytkownika ani specjalnej konfiguracji (AC:L, UI:N), co czyni ją trywialną do wykorzystania. Payload trafia bezpośrednio do silnika bazodanowego leżącego u podstaw Enterprise Geodatabase.

Skutki

Skuteczna eksploatacja może prowadzić do nieautoryzowanego odczytu, modyfikacji lub trwałego usunięcia danych przechowywanych w Enterprise Geodatabase, a ze względu na maksymalny wynik CVSS 10.0 i zakres S:C, potencjalnie również do naruszenia poufności, integralności i dostępności zasobów wykraczających poza sam serwer ArcGIS.

Mitygacja

Należy niezwłocznie zastosować patche bezpieczeństwa dla ArcGIS Server Feature Services dostępne u producenta pod adresem: https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch. Do czasu zainstalowania poprawki zaleca się ograniczenie dostępu sieciowego do usług ArcGIS Feature Service wyłącznie do zaufanych źródeł oraz wzmożone monitorowanie logów pod kątem anomalnych zapytań SQL.

Kogo dotyczy

Esri ArcGIS Server w wersjach 11.3, 11.4 oraz 11.5 na platformach Microsoft Windows, Linux oraz Kubernetes.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Esri Arcgis Server

    APP
    Esri
    11.3 – 11.5
  • Kubernetes

    APP
    Kubernetes
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLiAuth BypassContainer
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit