ERROR

Vulnerabilidad de scripts entre sitios (XSS) del parámetro de formato de ArcGIS Server

Last Published: January 6, 2021

Descripción

Se ha identificado una vulnerabilidad de scripts entre sitios (XSS) en la API REST de ArcGIS Server. El defecto se expresa cuando una solicitud de servicio REST de ArcGIS incluye un parámetro "f" mal formado (formato).

El parámetro de formato mal formado se vuelve a mostrar en el navegador del usuario final sin filtrar. Una explotación fructífera de esta vulnerabilidad permite a los atacantes remotos inyectar HTML o scripts web arbitrarios a través de la cadena de consulta.

Nota: Este artículo corresponde únicamente a las versiones 9.x de ArcGIS. Es posible que versiones posteriores de ArcGIS incluyan funcionalidades distintas, así como nombres y ubicaciones distintos para menús, comandos y herramientas de geoprocesamiento.

Los siguientes productos se ven afectados:

  • ArcGIS Server 9.3 y 9.3.1 .NET
  • ArcGIS Server 9.3 y 9.3.1 Java

Esri ha proporcionado puntuaciones sobre la vulnerabilidad en este sitio asesor basándose en el Sistema de puntuación de vulnerabilidad común (CVSS) que aparece a continuación y que indica riesgos generales de bajos a medios de este problema. Encontrará más información sobre este sistema de puntuación en: Sistema de puntuación de vulnerabilidad común.

Calificaciones CVSS
Puntuación base: 2,6
Vector de acceso: red
Complejidad de acceso: alta
Autenticación: no se requiere ninguna

Puntuación de vulnerabilidad de seguridad: 4,9
Confidencialidad: ninguna
Disponibilidad: ninguna

Puntuación de impacto: 2,9
Confidencialidad: ninguna
Integridad: parcial
Disponibilidad: ninguna

Causa

  • El equipo de seguridad de Esri no conoce ninguna explotación maliciosa de esta vulnerabilidad.
  • Esta vulnerabilidad se descubrió durante el escaneo de seguridad de la aplicación web.

Solución alternativa

Esta vulnerabilidad se solucionó en ArcGIS Server 9.3.1 SP1.

Id. de artículo:000010763

Obtener ayuda de expertos en ArcGIS

Contactar con soporte técnico

Descargar la aplicación de soporte de Esri

Ir a las opciones de descarga

Información relacionada

Descubrir más sobre este tema