Krytyczna podatność typu SQL Injection w Esri ArcGIS Server pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnych poleceń SQL. Zagrożone są wersje 11.3, 11.4 i 11.5 działające na platformach Windows, Linux oraz Kubernetes.
▸ Pokaż oryginał (EN)
A SQL Injection vulnerability exists in Esri ArcGIS Server versions 11.3, 11.4 and 11.5 on Windows, Linux and Kubernetes. This vulnerability allows a remote, unauthenticated attacker to execute arbitrary SQL commands via a specific ArcGIS Feature Service operation. Successful exploitation can potentially result in unauthorized access, modification, or deletion of data from the underlying Enterprise Geodatabase.
Atakujący wysyła specjalnie spreparowane żądanie do konkretnej operacji ArcGIS Feature Service, wstrzykując złośliwe polecenia SQL bez konieczności posiadania jakichkolwiek uprawnień. Podatność ma wektor sieciowy (AV:N), nie wymaga interakcji użytkownika ani specjalnej konfiguracji (AC:L, UI:N), co czyni ją trywialną do wykorzystania. Payload trafia bezpośrednio do silnika bazodanowego leżącego u podstaw Enterprise Geodatabase.
Skuteczna eksploatacja może prowadzić do nieautoryzowanego odczytu, modyfikacji lub trwałego usunięcia danych przechowywanych w Enterprise Geodatabase, a ze względu na maksymalny wynik CVSS 10.0 i zakres S:C, potencjalnie również do naruszenia poufności, integralności i dostępności zasobów wykraczających poza sam serwer ArcGIS.
Należy niezwłocznie zastosować patche bezpieczeństwa dla ArcGIS Server Feature Services dostępne u producenta pod adresem: https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch. Do czasu zainstalowania poprawki zaleca się ograniczenie dostępu sieciowego do usług ArcGIS Feature Service wyłącznie do zaufanych źródeł oraz wzmożone monitorowanie logów pod kątem anomalnych zapytań SQL.
Esri ArcGIS Server w wersjach 11.3, 11.4 oraz 11.5 na platformach Microsoft Windows, Linux oraz Kubernetes.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HEsri Arcgis Server
APPEsri11.3 – 11.5Kubernetes
APPKuberneteswszystkie wersjeLinux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit