ArcGIS Server Format Parameter Cross-Site Scripting (XSS) Vulnerability

Beschreibung

In der ArcGIS Server-REST-API wurde eine Schwachstelle bezüglich Cross-Site Scripting (XSS) identifiziert. Der Fehler äußert sich, wenn eine ArcGIS-REST-Service-Anforderung einen falsch gebildeten "f"-Parameter (Format) enthält.

Der falsch gebildete Formatparameter wird ohne Filterung als Echo an den Browser des Endbenutzers gesendet. Bei erfolgreicher Ausnutzung dieser Schwachstelle können externe Angreifer mithilfe der Abfragezeichenfolge beliebige Webskripte oder beliebigen HTML-Code einschleusen.

Hinweis: Dieser Artikel gilt nur für die ArcGIS-Versionen 9.x. Höhere Versionen von ArcGIS enthalten möglicherweise andere Funktionalität sowie andere Namen für Menüs, Befehle und Geoverarbeitungswerkzeuge, die sich auch an anderen Orten befinden können.

Dies betrifft die folgenden Produkte:

• ArcGIS Server 9.3 und 9.3.1 .NET
• ArcGIS Server 9.3 und 9.3.1 Java

Esri hat für die Schwachstelle in dieser Empfehlung die folgenden CVSS-Bewertungen (Common Vulnerability Scoring System) festgelegt, aus denen für dieses Problem insgesamt ein niedriges bis mittleres Risiko hervorgeht. Weitere Informationen zu diesem Bewertungssystem finden Sie unter Common Vulnerability Scoring System.

CVSS-Bewertungen
Gesamtbewertung: 2.6
Angriffsvektor: Netzwerk
Komplexität des Zugriffs: Hoch
Authentifizierung: Nicht erforderlich

Bewertung der Ausnutzbarkeit: 4.9
Vertraulichkeit: Keine
Verfügbarkeit: Keine

Bewertung der Auswirkungen: 2.9
Vertraulichkeit: Keine
Integrität: Teilweise
Verfügbarkeit: Keine

Ursache

• Dem ESRI Sicherheitsteam ist keine böswillige Ausnutzung dieser Schwachstelle bekannt.
• Die Schwachstelle wurde beim Scannen der Sicherheit von Webanwendungen gefunden.

Problemumgehung

Die Schwachstelle wurde in ArcGIS Server 9.3.1 SP1 behoben.