关键漏洞信息 漏洞概述 漏洞编号: VU#795644 发布日期: 2012-11-09 最新修订日期: 2012-11-19 CWE编号: CWE-89 描述 Esri ArcGIS Server 10.1 版本存在盲 SQL 注入漏洞,允许远程攻击者通过查询操作中的 where 子句执行部分 SQL 命令。 影响 远程已认证攻击者可能能够对后端数据库执行部分 SQL 命令。 解决方案 应用更新: Esri 发布了 ArcGIS Server 10.1 Service Pack 1 的更新。 禁用查询: 可通过 ArcGIS Manager 为每个服务禁用查询操作。 限制访问: 作为一般安全实践,仅允许来自受信主机和网络的连接。 供应商信息 受影响厂商: Environmental Systems Research Institute Inc CVSS 评分 基础评分: 6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P) 时间评分: 5.9 (E:POC/RL:U/RC:C) 环境评分: 4.4 (CDP:ND/TD:M/CR:ND/IR:ND/AR:ND) 参考链接 Esri 下载页面 Esri 技术文章 Esri ArcGIS Server 页面 Esri 服务包下载 CWE 定义 其他信息 CVE ID: CVE-2012-4949 公开日期: 2012-10-29 首次发布日期: 2012-11-09 最后更新日期: 2012-11-19 文档版本: 32