Podatność nieprawidłowego przypisania uprawnień w Esri Portal for ArcGIS 11.5 (Windows i Linux) umożliwia wysoko uprzywilejowanym użytkownikom tworzenie poświadczeń deweloperskich z większym zakresem uprawnień niż zamierzony. Podatność otrzymała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
An incorrect privilege assignment vulnerability exists in Esri Portal for ArcGIS 11.5 in Windows and Linux that allows highly privileged users to create developer credentials that may grant more privileges than expected.
Błąd polega na nieprawidłowej logice przypisywania uprawnień podczas tworzenia tzw. developer credentials (poświadczeń deweloperskich) w portalu. Wysoko uprzywilejowany użytkownik może wygenerować takie poświadczenia, które w efekcie uzyskują szerszy zakres praw dostępu niż wynikałoby to z zamierzonej polityki systemu. Mechanizm kontroli uprawnień nie ogranicza właściwie zakresu uprawnień nadawanych nowo tworzonym poświadczeniom.
Atakujący posiadający już wysoki poziom uprawnień może eskalować swoje możliwości poprzez utworzenie poświadczeń deweloperskich z nieoczekiwanie szerokim zakresem uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów, naruszenia poufności, integralności oraz dostępności danych w portalu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje zawiera biuletyn bezpieczeństwa Esri z kwietnia 2026 roku dostępny pod adresem wskazanym w referencjach produktu.
Esri Portal for ArcGIS 11.5 na systemach Windows i Linux
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HEsri Portal For Arcgis
APPEsri11.5Linux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit