ArcGIS Server <= 12.0 多个漏洞(安全 2026 更新 2)

critical Nessus 插件 ID 325895

简介

远程 Web 服务器受到多个漏洞的影响。

描述

远程主机上安装的 ArcGIS Server 版本是 12.0 或之前版本 。因此,该应用程序受到多个漏洞的影响:

ArcGIS Server 目录遍历漏洞。未经身份验证的攻击者可通过发送构建的路径参数利用此问题。若成功利用此漏洞,可访问操作系统上的敏感文件。
(CVE-2026-9181)

- ArcGIS Server 存在一个无限制文件上传漏洞。未经身份验证的攻击者可通过将构建的文件上传到受影响的端点来利用此漏洞。若攻击者成功利用此漏洞,可允许任意文件上传。(CVE-2026-9182)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

应用 ArcGIS Server Security 2026 Update 2 补丁。

另见

http://www.nessus.org/u?24940643

插件详情

严重性: Critical

ID: 325895

文件名: arcgis_server_2026_update_2.nasl

版本: 1.2

类型: Remote

系列: CGI abuses

发布时间: 2026/7/9

最近更新时间: 2026/7/10

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.7

百分位: 96.44

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-9182

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:esri:arcgis_server

必需的 KB 项: installed_sw/ArcGIS Server, Settings/ParanoidReport

易利用性: No known exploits are available

补丁发布日期: 2026/5/27

漏洞发布日期: 2026/5/27

参考资料信息

CVE: CVE-2026-9181, CVE-2026-9182