漏洞：ArcGIS Server 格式参数跨站点脚本 (XSS) 漏洞

描述

已在 ArcGIS Server REST API 中识别跨站点脚本 (XSS) 漏洞。 当 ArcGIS REST 服务请求包含格式错误的“f”参数（格式）时，该缺陷将显现。

格式错误的格式参数将回传至最终用户的浏览器，无需进行过滤。 如果远程攻击者成功利用此漏洞，可以通过查询字符串注入任意 Web 脚本或 HTML。

注： 本文仅适用于 ArcGIS 9.x 版本。 更高版本的 ArcGIS 可能包含不同的功能，对于菜单、命令和地理处理工具，可能具有不同的名称和位置。

以下产品将受到影响：

• ArcGIS Server 9.3 和 9.3.1 .NET
• ArcGIS Server 9.3 和 9.3.1 Java

Esri 已基于以下通用漏洞评分系统 (CVSS) 为此咨询中的漏洞提供了得分，指示了该问题总体为中低风险。 有关此评分系统的进一步信息，请访问：通用漏洞评分系统。

CVSS 评级
基础得分：2.6
访问向量：网络
访问复杂度：高
身份验证：不需要

可利用性得分：4.9
机密性：无
可用性：无

影响得分：2.9
机密性：无
完整性：部分
可用性：无

原因

• Esri 安全团队未发现对任何该漏洞的恶意利用。
• 在 Web 应用程序安全性扫描期间发现了此漏洞。

解决办法

ArcGIS Server 9.3.1 SP1 中已解决此漏洞。