漏洞：NIM093227：ArcGIS for Server 10.1 SP1 中存在一个反映的非持续性跨站点脚本漏洞

描述

在 ArcGIS for Server 10.1 披露的其中一个 URL 中，存在反映的非持续性跨站点漏洞。 ArcGIS for Server 10.2 中不存在此问题。

CVE 参考
CVE-2013-5222 各种 XSS 漏洞
矢量：AV:N/AC:M/Au:S/C:N/I:P/A:N 基础得分 3.5
此漏洞可能被视为常见漏洞披露列表中的标准条目

致谢
Esri 感谢以下人员与我们一起保护客户的利益：

• NCIA-NCIRC 的 Roberto Suggi Liverani 报告了此漏洞。

原因

当使用由黑客提供的特殊构造的 URL 来查看 Esri 页面时，攻击者可以利用此漏洞在浏览器内运行脚本。

解决办法

此问题已在 ArcGIS 10.2 for Server 中修复。 Esri 建议客户升级到最新版本的 ArcGIS for Server。

对于无法升级的客户，Esri 发布了一个安全修补程序，用于修复 ArcGIS 10.1 SP1 中的此漏洞和其他安全漏洞。 客户应下载并安装 10.1 SP1 安全修补程序，可在此处找到此安全修补程序：

• ArcGIS 10.1 SP1 for Server 安全修补程序（2013 年 9 月）