一、 漏洞 CVE-2024-5888 基础信息
漏洞标题
通过GP Service发布的工具箱中的Rest Services API存储的XSS漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在ArcGIS Server的版本10.9.1 - 11.3中,存在一个存储型跨站脚本(XSS)漏洞。该漏洞可能会允许远程认证攻击者创建一个精心设计的链接,当受害者点击该链接时,可能在受害者的浏览器中执行任意的JavaScript代码。执行此攻击所需的权限较高,需要具备发布者的权限。该漏洞对保密性和完整性的威胁较低,但不会影响系统的可用性。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Stored XSS in Rest Services API for a Toolbox published as GP Service
来源:美国国家漏洞数据库 NVD
漏洞描述信息
There is a stored Cross-site Scripting vulnerability in ArcGIS Server for versions 10.9.1 – 11.3 that may allow a remote, authenticated attacker to create a stored crafted link which when clicked could potentially execute arbitrary JavaScript code in the victim’s browser. The privileges required to execute this attack are high, requiring publisher capabilities. The impact is low to both confidentiality and integrity while having no impact to availability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-5888 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-5888 的情报信息