漏洞信息详情

多款ESRI产品跨站脚本漏洞

• CNNVD编号：CNNVD-201507-199
• 危害等级： 中危
  
• CVE编号： CVE-2014-9741
• 漏洞类型： 跨站脚本
• 发布时间： 2015-07-09
• 威胁类型： 远程
• 更新时间： 2015-07-09
• 厂        商： esri
• 漏洞来源：

漏洞简介

ESRI ArcGIS是美国环境系统研究所（ESRI）公司的一套基于SOA架构的地理信息系统（GIS），它可以跨企业或跨互联网以服务形式共享二维和三维地图、地址定位器、空间数据库和地理处理工具等GIS资源。ESRI ArcGIS for Desktop、Engine和Server分别是桌面版、引擎版和服务器版。

多款ESRI产品中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下产品及版本受到影响：ESRI ArcGIS for Desktop 10.2.2及之前版本，ArcGIS for Engine 10.2.2及之前版本，ArcGIS for Server 10.2.2及之前版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://support.esri.com/en/downloads/patches-servicepacks/view/productid/67/metaid/2223

参考网址

来源:blogs.esri.com

链接:http://blogs.esri.com/esri/arcgis/2014/09/04/arcgis-for-server-security-patch-10-1-sp1-qip-10-2-1-10-2-2/

来源:SECTRACK

链接:http://www.securitytracker.com/id/1032733

来源:support.esri.com

链接:http://support.esri.com/en/downloads/patches-servicepacks/view/productid/67/metaid/2223

受影响实体

• Esri Arcgis_for_server:10.2.2  
• Esri Arcgis_for_engine:10.2.2  
• Esri Arcgis_for_desktop:10.2.2  

补丁

• ArcGIS-1022-DT-GNGU-Patch
• ArcGIS-1022-S-GNGU-Patch
• ArcGIS-1022-E-GNGU-Patch