Mehrere Schwachstellen (CVE-2023-25835, CVE-2024-51962, CVE-2024-8149, CVE-2026-0106) in Esri
Zusammenfassung
In Esri Portal für ArcGIS Sites Versionen 11.1 und älter existiert eine kritische Sicherheitslücke, die es einem authentifizierten Angreifer mit hohen Rechten ermöglicht, einen manipulierten Link in der Sitekonfiguration zu hinterlassen. Wird dieser Link von einem Opfer aufgerufen, kann der Angreifer beliebigen JavaScript-Code im Browser des Opfers ausführen. Dies kann zu Datenverlust, Integritätsverletzungen und Verfügbarkeitsproblemen führen.
There is a stored Cross‑Site Scripting (XSS) vulnerability in Esri Portal for ArcGIS Sites versions 11.1 and below that may allow a remote, authenticated attacker with high‑privileged access to create a crafted link that is persisted within the site configuration. When accessed by a victim, the stored payload may execute arbitrary JavaScript code in the victim’s browser. Successful exploitation could allow the attacker to access sensitive user data and session information, alter trusted site content and user actions, and disrupt normal site functionality, resulting in a high impact to confidentiality, integrity, and availability.
Quelle: app.opencve.io