Esri Portal for ArcGIS < Security 2024 Update 2 多个漏洞 (10.8.1)
high Nessus 插件 ID 208442
语言:
简介
远程主机缺少一个或多个安全更新。描述
安装的 Esri Portal for ArcGIS 版本缺少 Security 2024 Update 2,因而受到多个漏洞的影响,包括:- Esri Portal for ArcGIS 中存在一个本地文件包含漏洞 11.2。11.1、11.0 和 10.9.1 中的漏洞可能允许未经认证的远程攻击者构建可能会通过读取内部文件泄露敏感配置信息的 URL。(CVE-2024-38040)
- Esri Portal for ArcGIS 版本 10.9.1、 10.8.1 和 10.7.1 中存在反射型 XSS 漏洞,允许未经身份验证的远程攻击者创建特别构建的链接,单击该链接时可在受害者的浏览器中执行任意 JavaScript 代码。(CVE-2024-38038)
- Esri Portal for ArcGIS 版本 11.1、 10.9.1 和 10.8.1 中存在反射型 XSS 漏洞,允许未经身份验证的远程攻击者创建特别构建的链接,单击该链接时可在受害者的浏览器中执行任意 JavaScript 代码。(CVE-2024-25691)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
应用 Security 2024 Update 2 补丁 Esri Portal for ArcGIS。另见
插件详情
严重性: High
ID: 208442
文件名: esri_portal_for_arcgis_2024_update_2.nasl
版本: 1.4
类型: local
代理: windows
系列: Windows
发布时间: 2024/10/9
最近更新时间: 2025/4/3
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2024-38040
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:esri:portal_for_arcgis
必需的 KB 项: installed_sw/Esri Portal for ArcGIS
易利用性: No known exploits are available
补丁发布日期: 2024/8/22
漏洞发布日期: 2024/8/22
参考资料信息
CVE: CVE-2024-25691, CVE-2024-25694, CVE-2024-25701, CVE-2024-25702, CVE-2024-25707, CVE-2024-38036, CVE-2024-38037, CVE-2024-38038, CVE-2024-38039, CVE-2024-38040, CVE-2024-8148, CVE-2024-8149
IAVB: 2024-B-0149-S