Vulnerabilidade de Script entre Site (XSS) de Parâmetro de Formato do ArcGIS Server

Descrição

Uma vulnerabilidade de script entre site (XSS) foi identificada no ArcGIS Server REST API. O defeito se manifesta quando uma solicitação do ArcGIS REST Service inclui um parâmetro 'f' malformado (formato).

O parâmetro de formato incorreto é ecoado de volta para o navegador do usuário final sem filtragem. A exploração bem-sucedida dessa vulnerabilidade permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio da string de consulta.

Nota: Este artigo se refere apenas às versões 9.x do ArcGIS. Versões posteriores do ArcGIS podem conter diferentes funcionalidades, bem como diferentes nomes e locais para menus, comandos e ferramentas de geoprocessamento.

Os seguintes produtos são afetados:

• ArcGIS Server 9.3 e 9.3.1 .NET
• ArcGIS Server 9.3 e 9.3.1 Java

A Esri forneceu pontuações para a vulnerabilidade neste comunicado com base no Common Vulnerability Scoring System (CVSS) abaixo, que indica risco geral de baixo a médio para esse problema. Mais informações sobre este sistema de pontuação podem ser encontradas em: Common Vulnerability Scoring System.

Pontuações do CVSS
Pontuação Básica: 2.6
Vetor de Acesso: Rede
Complexidade de Acesso: Alta
Autenticação: Nenhuma necessária

Pontuação de explorabilidade: 4.9
Confidencialidade: Nenhuma
Disponibilidade: Nenhuma

Pontuação de Impacto: 2.9
Confidencialidade: Nenhuma
Integridade: Parcial
Disponibilidade: Nenhuma

Causa

• A equipe de segurança da ESRI não tem conhecimento de nenhuma exploração maliciosa dessa vulnerabilidade.
• Esta vulnerabilidade foi descoberta durante o escaneamento da Segurança de Aplicativo da Web.

Solução Provisória

Esta vulnerabilidade foi corrigida no ArcGIS Server 9.3.1 SP1.