CVE-2025-57870 - ArcGIS服务器要素服务SQL注入漏洞
概述
CVSS评分:10.0(严重)
漏洞描述
Esri ArcGIS Server 11.3、11.4和11.5版本(支持Windows、Linux和Kubernetes平台)存在SQL注入漏洞。该漏洞允许远程、未经身份验证的攻击者通过特定的ArcGIS要素服务操作执行任意SQL命令。成功利用此漏洞可能导致底层企业地理数据库中的数据被未经授权访问、修改或删除。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Esri | arcgis_server |
受影响厂商总数:1 | 产品总数:1
漏洞时间线
- 发布日期:2025年10月22日 15:15
- 最后修改:2025年10月22日 21:12
- 远程利用:是
- 信息来源:psirt@esri.com
CVSS评分详情
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 10.0 | CVSS 3.1 | 严重 | 3.9 | 6.0 | psirt@esri.com |
解决方案
修补ArcGIS Server以修复SQL注入漏洞。这可以防止未经授权的数据访问和修改。
- 应用ArcGIS Server的最新安全补丁
- 限制对ArcGIS要素服务操作的访问
- 验证所有输入以防止SQL注入漏洞
- 监控数据库日志中的可疑活动
公共PoC/漏洞利用
CVE-2025-57870在GitHub上有1个公共PoC/漏洞利用可用。
ByteHawkSec/CVE-2025-57870-POC
- 描述:Esri ArcGIS Server中SQL命令使用的特殊元素不当中和
- 更新:11小时43分钟前
- 创建于:2025年10月22日 18:48
- 1星 | 0分支 | 0关注者
参考信息
咨询、解决方案和工具参考链接:
CWE - 常见弱点枚举
CWE-89: SQL命令中使用的特殊元素不当中和(SQL注入)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-7:盲SQL注入
- CAPEC-66:SQL注入
- CAPEC-108:通过SQL注入执行命令行
- CAPEC-109:对象关系映射注入
- CAPEC-110:通过SOAP参数篡改进行SQL注入
- CAPEC-470:从数据库扩展对操作系统的控制
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | 存在SQL注入漏洞… | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | |
| 新增 | CWE | CWE-89 | |
| 新增 | 参考 | 官方安全补丁链接 |