CRITICAL🇬🇧 English

CVE-2026-33519

Nieprawidłowa autoryzacja w Esri Portal for ArcGIS — obejście uprawnień

CVSS 9.8v3.1pub. 2026-04-21upd. 2026-05-18

Podatność nieprawidłowej autoryzacji w Esri Portal for ArcGIS 11.4, 11.5 i 12.0 umożliwia atakującemu obejście mechanizmu weryfikacji uprawnień przypisanych do poświadczeń deweloperskich. Ze względu na brak wymagań co do uwierzytelnienia i interakcji użytkownika, podatność jest szczególnie niebezpieczna w środowiskach eksponowanych na internet.

Pokaż oryginał (EN)

An incorrect authorization vulnerability exists in Esri Portal for ArcGIS 11.4, 11.5 and 12.0 on Windows, Linux and Kubernetes that did not correctly check permissions assigned to developer credentials.

🤖 Analiza AI
Jak działa

Portal for ArcGIS nieprawidłowo weryfikuje uprawnienia przypisane do poświadczeń deweloperskich (developer credentials), co oznacza, że kontrola dostępu nie jest egzekwowana zgodnie z zamierzonym modelem uprawnień. Zdalny, nieuwierzytelniony atakujący może skorzystać z błędnie skonfigurowanego mechanizmu autoryzacji, aby uzyskać dostęp do zasobów lub operacji, do których nie powinien mieć uprawnień. Podatność dotyczy instalacji na platformach Windows, Linux oraz Kubernetes.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować zasoby portalu lub zakłócać jego dostępność, co odpowiada pełnemu naruszeniu poufności, integralności i dostępności systemu (CVSS C:H/I:H/A:H).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawkach zawiera biuletyn bezpieczeństwa Esri z kwietnia 2026 roku dostępny pod adresem: https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/april2026_security_bulletin

Kogo dotyczy

Esri Portal for ArcGIS w wersjach 11.4, 11.5 oraz 12.0 na systemach Windows, Linux i Kubernetes.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Esri Portal For Arcgis

    APP
    Esri
    11.411.512.0
  • Kubernetes

    APP
    Kubernetes
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit