NIM093227: Existe una vulnerabilidad de scripts entre sitios reflejada no persistente en ArcGIS for Server 10.1 SP1

Descripción

En una de las URL que expone ArcGIS for Server 10.1, existe una vulnerabilidad entre sitios reflejada no persistente. Este problema no existe en ArcGIS for Server 10.2.

Referencia CVE
CVE-2013-5222 Various XSS Vulnerabilities
Vector: AV:N/AC:M/Au:S/C:N/I:P/A:N Base Score 3.5
Esta vulnerabilidad se puede ver como entrada estándar en la lista Vulnerabilidades y exposiciones comunes

Agradecimientos
Esri da las gracias a las siguientes personas por trabajar con nosotros para proteger a los clientes:

• Roberto Suggi Liverani de NCIA-NCIRC, por informar de esta vulnerabilidad.

Causa

Un atacante puede utilizar esta vulnerabilidad para ejecutar un script en el navegador al visualizar una página de Esri mediante una URL construida especialmente suministrada por el hacker.

Solución alternativa

Este problema se ha solucionado en ArcGIS 10.2 for Server. Esri recomienda que los clientes actualicen a la versión más reciente de ArcGIS for Server.

Para aquellos clientes que no pueden actualizar, Esri ha publicado un parche de seguridad que soluciona esta y otras vulnerabilidades de seguridad en ArcGIS 10.1 SP1. Los clientes deben descargar e instalar el Parche de seguridad de 10.1 SP1, que podrán encontrar aquí:

• Parche de seguridad de ArcGIS 10.1 SP1 for Server (septiembre de 2013)