ERROR
Se ha identificado una vulnerabilidad de scripts entre sitios (XSS) en la API REST de ArcGIS Server. El defecto se expresa cuando una solicitud de servicio REST de ArcGIS incluye un parámetro "f" mal formado (formato).
El parámetro de formato mal formado se vuelve a mostrar en el navegador del usuario final sin filtrar. Una explotación fructífera de esta vulnerabilidad permite a los atacantes remotos inyectar HTML o scripts web arbitrarios a través de la cadena de consulta.
Nota: Este artículo corresponde únicamente a las versiones 9.x de ArcGIS. Es posible que versiones posteriores de ArcGIS incluyan funcionalidades distintas, así como nombres y ubicaciones distintos para menús, comandos y herramientas de geoprocesamiento.
Los siguientes productos se ven afectados:
Esri ha proporcionado puntuaciones sobre la vulnerabilidad en este sitio asesor basándose en el Sistema de puntuación de vulnerabilidad común (CVSS) que aparece a continuación y que indica riesgos generales de bajos a medios de este problema. Encontrará más información sobre este sistema de puntuación en: Sistema de puntuación de vulnerabilidad común.
Calificaciones CVSS
Puntuación base: 2,6
Vector de acceso: red
Complejidad de acceso: alta
Autenticación: no se requiere ninguna
Puntuación de vulnerabilidad de seguridad: 4,9
Confidencialidad: ninguna
Disponibilidad: ninguna
Puntuación de impacto: 2,9
Confidencialidad: ninguna
Integridad: parcial
Disponibilidad: ninguna
Esta vulnerabilidad se solucionó en ArcGIS Server 9.3.1 SP1.
Obtener ayuda de expertos en ArcGIS
Descargar la aplicación de soporte de Esri