V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
bdu,nvd

Esri

Уязвимости
212
Эксплуатируемые
0
Критический
16
Высокий
39

Топ продуктов

Arcgis Server95Portal For Arcgis89Arcgis Pro8Arcgis Enterprise6Arcreader6Arcgis Allsource4Arcmap4Arcgis Engine3Arcgis Insights2Arcinfo Workstation2Arcsde2Arcgis Earth1Arcgis For Desktop1Arcgis For Engine1Arcgis Geoevent Server1Arcgis Quickcapture1Arcgisruntime Sdk1Arcpad1

Топ уязвимостей

CVE-2025-57870В версиях Esri ArcGIS Server 11.3, 11.4 и 11.5 (Windows, Linux, Kubernetes) обнаружена уязвимость типа SQL‑инъекция, позволяющая удалённому неаутентифицированному злоумышленнику выполнять произвольные SQL‑команды через определённую операцию ArcGIS Feature Service. При успешной эксплуатации возможен несанкционированный доступ, изменение или удаление данных из корпоративной геодатабазы. Эта уязвимость устраняется критическим патчем, выпущенным 7 октября 2025 г., который следует установить как можно быстрее; патч не является кумулятивным и не требует наличия других обновлений. Для систем, доступных из Интернета, рекомендуется применить обновленные правила Web Application Firewall (WAF) от Esri (версия 2.2.3), охватывающие как GET, так и POST‑запросы. Патч не затрагивает функции сервисов, использующие только хост‑слои, и не влияет на версии ArcGIS Server 11.2 и более ранние, а также не будет затронут в будущих версиях 12 и выше. Пользователям Kubernetes рекомендуется обновиться до версии 11.5, поскольку для 11.3 и 11.4 патча нет. Информация из источника [1]. Источники: - [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch
CVE-2007-1770Переполнение буфера в службе ArcSDE (giomgr) в Environmental Systems Research Institute (ESRI) ArcGIS до 9.2 Service Pack 2, при использовании трехзвенных конфигураций ArcSDE, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой giomgr) и выполнять произвольный код через длинные параметры в специально созданных запросах.
BDU:2025-13412Уязвимость сервера ArcGIS Server связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-команды
CVE-2024-25693Существует обход пути в Esri Portal for ArcGIS версий <= 11.2. Успешная эксплуатация может позволить удаленному аутентифицированному злоумышленнику перемещаться по файловой системе для доступа к файлам или выполнения кода за пределами предполагаемой директории.
CVE-2026-33519Неправильная уязвимость авторизации существует в Esri Portal для ArcGIS 11.4, 11.5 и 12.0 на Windows, Linux и Kubernetes, которые не правильно проверяли разрешения, присвоенные учетным данным разработчика.
CVE-2025-2538В определенном паттерне развертывания Esri Portal for ArcGIS версий 11.4 и ниже существует уязвимость, связанная с использованием захардкоженных учетных данных, которая может позволить удаленному неаутентифицированному злоумышленнику получить административный доступ к системе. Источники: - [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/portal-for-arcgis-security-2025-update-1-patch/
CVE-2021-29114Уязвимость SQL-инъекции в службах объектов, предоставляемых Esri ArcGIS Server 10.9 и ниже, позволяет удаленному неаутентифицированному злоумышленнику воздействовать на конфиденциальность, целостность и доступность целевых служб с помощью специально созданных запросов.
CVE-2020-35712Esri ArcGIS Server до версии 10.8 уязвим для SSRF в некоторых конфигурациях.
CVE-2015-2002ESRI ArcGis Runtime SDK до версии 10.2.6-2 для Android может позволить злоумышленникам выполнять произвольный код, используя метод finalize в классе Serializable, который неправильно передает управляемый злоумышленником указатель в собственную функцию.
BDU:2025-14627Уязвимость веб-портала Portal for ArcGIS связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-05965Уязвимость сервера ArcGIS Server связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные SQL-запросы
CVE-2022-38193Существует уязвимость внедрения кода в Esri Portal for ArcGIS версий 10.8.1 и ниже, которая может позволить удаленному не прошедшему проверку подлинности злоумышленнику передавать строки, которые потенциально могут вызвать выполнение произвольного кода.
CVE-2012-1661ESRI ArcMap 9 и ArcGIS 10.0.2.3200 и более ранние версии неправильно запрашивают у пользователей подтверждение перед выполнением встроенных макросов VBA, что позволяет удаленным злоумышленникам с помощью пользователя выполнять произвольный код VBA через специально созданный файл карты (.mxd).
CVE-2025-4967Portal for ArcGIS версии 11.4 и ранее позволяет удаленному неаутентифицированному злоумышленнику обойти защиту SSRF [1]. Уязвимость имеет критический уровень серьезности и затрагивает версии до 11.4 включительно. Для версий 11.5 и выше уязвимость не актуальна, однако необходимо реализовать критически важные рекомендации по безопасности 2025 года. Доступно исправление Portal for ArcGIS Security 2025 Update 2 Patch, устраняющее эту проблему. Базовый балл CVSS 3.1 составляет 9,1, а временный балл CVSS 3.1 - 8,7 [1]. Источники: - [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/portal-for-arcgis-security-2025-update-2-patch
CVE-2021-29102Уязвимость Server-Side Request Forgery (SSRF) в ArcGIS Server Manager версии 10.8.1 и ниже может позволить удаленному неаутентифицированному злоумышленнику подделывать GET-запросы к произвольным URL-адресам из системы, что потенциально может привести к перечислению сети или облегчению других атак.
BDU:2025-13109Уязвимость веб-портала Portal for ArcGIS связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти защиту от межсайтовой подмены запросов
CVE-2023-25832В Esri Portal for ArcGIS версий 11.0 и ниже существует уязвимость межсайтовой подделки запросов (CSRF), позволяющая злоумышленнику обмануть авторизованного пользователя и выполнить нежелательные действия от имени жертвы [1][2]. Для устранения уязвимости необходимо установить обновление Portal for ArcGIS Security 2023 Update 1 Patch. Источники: - [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/portal-for-arcgis-security-2023-update-1-patch-is-now-available/ - [2] https://support.esri.com/en-us/patches-updates/2023/portal-for-arcgis-security-2023-update-1-patch-8095
CVE-2021-29108Существует уязвимость повышения привилегий в специфичных для организации логинах в Esri Portal for ArcGIS версий 10.9 и ниже, которая может позволить удаленному аутентифицированному злоумышленнику, способному перехватить и изменить утверждение SAML, выдать себя за другую учетную запись (атака XML Signature Wrapping). В дополнение к исправлению, Esri также настоятельно рекомендует в качестве лучшей практики подписывать и шифровать утверждения SAML.
CVE-2024-51962Уязвимость SQL-инъекции в ArcGIS Server позволяет операции EDIT модифицировать свойства столбца, что дает возможность выполнять SQL-инъекцию удаленному аутентифицированному пользователю с повышенными (не администраторскими) правами. Это имеет высокий риск для целостности и конфиденциальности и не влияет на доступность.
BDU:2025-02367Уязвимость сервера ArcGIS Server связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольный код
CVE-2024-51954Уязвимость Improper Access Control в ArcGIS Server для версий 11.3 и ниже на Windows и Linux. Уязвимость позволяет удаленному аутентифицированному злоумышленнику с низкими привилегиями получить доступ к защищенным сервисам, опубликованным на изолированном экземпляре ArcGIS Server. CVSS-оценка: 8.5 [1]. Источники: - [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-security-2025-update-1-patch/
CVE-2024-25699Сложно эксплуатируемая проблема неправильной аутентификации в домашнем приложении для Esri Portal for ArcGIS версий 11.2 и ниже на Windows и Linux, и ArcGIS Enterprise 11.1 и ниже на Kubernetes, которая при определенных обстоятельствах может потенциально позволить удаленному, неаутентифицированному злоумышленнику скомпрометировать конфиденциальность, целостность и доступность программного обеспечения. Оценка CVSS - 8.5, что указывает на высокую степень серьезности. Для смягчения рекомендуется установить обновления безопасности [1]. Источники: - [1] https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/portal-for-arcgis-security-2024-update-1/
BDU:2025-02368Уязвимость сервера ArcGIS Server связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2023-25837Уязвимость Cross-site Scripting в Esri ArcGIS Enterprise Sites версий 10.9 и ниже, позволяющая удаленному аутентифицированному злоумышленнику с высокими привилегиями создать ссылку, которая при нажатии может выполнить произвольный JavaScript код в браузере жертвы, потенциально раскрыв конфиденциальную информацию. [1] Источники: - [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/portal-for-arcgis-enterprise-sites-security-patch-is-now-available/
CVE-2023-25835Существует уязвимость межсайтового скриптинга, хранящаяся в Esri Portal for ArcGIS Sites версий 11.1 и ниже, которая может позволить удаленному, аутентифицированному злоумышленнику создать сохраненную ссылку, которая при нажатии может потенциально выполнить произвольный JavaScript-код в браузере жертвы. Для эксплуатации этой уязвимости требуются высокие привилегии [1]. Источники: - [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/portal-for-arcgis-enterprise-sites-security-patch-is-now-available/
Открыть в каталоге с фильтром по вендору →