正文

多款ESRI产品跨站脚本漏洞

admin
admin V管理员 /0 评论 /9 阅读
0111
此篇文章发布距今已超过1221天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

多款ESRI产品跨站脚本漏洞

  • CNNVD编号:CNNVD-201507-199
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2014-9741
  • 漏洞类型: 跨站脚本
  • 发布时间: 2015-07-09
  • 威胁类型: 远程
  • 更新时间: 2015-07-09
  • 厂        商: esri
  • 漏洞来源:

漏洞简介

ESRI ArcGIS是美国环境系统研究所(ESRI)公司的一套基于SOA架构的地理信息系统(GIS),它可以跨企业或跨互联网以服务形式共享二维和三维地图、地址定位器、空间数据库和地理处理工具等GIS资源。ESRI ArcGIS for Desktop、Engine和Server分别是桌面版、引擎版和服务器版。

多款ESRI产品中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响:ESRI ArcGIS for Desktop 10.2.2及之前版本,ArcGIS for Engine 10.2.2及之前版本,ArcGIS for Server 10.2.2及之前版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://support.esri.com/en/downloads/patches-servicepacks/view/productid/67/metaid/2223

参考网址

来源:blogs.esri.com

链接:http://blogs.esri.com/esri/arcgis/2014/09/04/arcgis-for-server-security-patch-10-1-sp1-qip-10-2-1-10-2-2/

来源:SECTRACK

链接:http://www.securitytracker.com/id/1032733

来源:support.esri.com

链接:http://support.esri.com/en/downloads/patches-servicepacks/view/productid/67/metaid/2223

受影响实体

  • Esri Arcgis_for_server:10.2.2  
    <!--
    2000-1-1
    -->
  • Esri Arcgis_for_engine:10.2.2  
    <!--
    2000-1-1
    -->
  • Esri Arcgis_for_desktop:10.2.2  
    <!--
    2000-1-1
    -->

补丁

  • ArcGIS-1022-E-GNGU-Patch
    <!--
    -->
  • ArcGIS-1022-DT-GNGU-Patch
    <!--
    -->
  • ArcGIS-1022-S-GNGU-Patch
    <!--
    -->