一、 漏洞 CVE-2024-25694 基础信息
漏洞标题
Portal for ArcGIS 存储型跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Esri Portal for ArcGIS Enterprise版本10.8.1 – 10.9.1中存在一处存储型跨站脚本漏洞,这可能允许远程认证攻击者创建一个经过构造的链接,并将其存储在Layer Showcase应用程序配置中。当该链接被点击时,可能会在受害者的浏览器中执行任意的JavaScript代码。执行此攻击所需的权限较高。该攻击可能导致泄露特权令牌,从而使攻击者获得对Portal的完全控制权。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
BUG-000163019 - Stored XSS in Portal for ArcGIS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
There is a stored Cross-site Scripting vulnerability in Esri Portal for ArcGIS Enterprise versions 10.8.1 – 10.9.1 that may allow a remote, authenticated attacker to create a crafted link that is stored in the Layer Showcase application configuration which when clicked could potentially execute arbitrary JavaScript code in the victim’s browser. The privileges required to execute this attack are high. The attack could disclose a privileged token which may result in the attacker gaining full control of the Portal.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Esri Portal for ArcGIS 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Esri Portal For ArcGIS是美国环境系统研究所(Esri)公司的一种允许在组织内与其他人共享地图、场景、应用程序和其他地理信息的组件。 Esri Portal for ArcGIS 存在跨站脚本漏洞,该漏洞源于包含一个存储型跨站脚本漏洞。允许经过身份验证的远程攻击者创建存储在 Layer Showcase 应用程序配置中的特制链接,单击该链接后可能会在受害者的浏览器中执行任意 JavaScript 代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-25694 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
