Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13412

Опубликовано: 26 окт. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость сервера ArcGIS Server связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-команды

Вендор

Google Inc
Esri

Наименование ПО

Kubernetes
ArcGIS Server

Версия ПО

- (Kubernetes)
11.3 (ArcGIS Server)
11.4 (ArcGIS Server)
11.5 (ArcGIS Server)

Тип ПО

ПО для разработки ИИ
Сетевое средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux -
Microsoft Corp Windows -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 10)
Критический уровень опасности (оценка CVSS 4.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 37%
0.00157
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-57870

CVSS3: 10
nvd
12 дней назад

A SQL Injection vulnerability exists in Esri ArcGIS Server versions 11.3, 11.4 and 11.5 on Windows, Linux and Kubernetes. This vulnerability allows a remote, unauthenticated attacker to execute arbitrary SQL commands via a specific ArcGIS Feature Service operation. Successful exploitation can potentially result in unauthorized access, modification, or deletion of data from the underlying Enterprise Geodatabase.

github логотип

GHSA-gc6w-4mgp-mgjm

CVSS3: 10
github
12 дней назад

A SQL Injection vulnerability exists in Esri ArcGIS Server versions 11.3, 11.4 and 11.5 on Windows, Linux and Kubernetes. This vulnerability allows a remote, unauthenticated attacker to execute arbitrary SQL commands via a specific ArcGIS Feature Service operation. Successful exploitation can potentially result in unauthorized access, modification, or deletion of data from the underlying Enterprise Geodatabase.

EPSS

Процентиль: 37%
0.00157
Низкий

10 Critical

CVSS3

10 Critical

CVSS2