漏洞概述 CVE-2026-9181: ArcGIS Server 存在目录遍历漏洞。未认证的攻击者可以通过发送构造的路径参数利用此问题,成功利用可能导致访问系统上的敏感文件。 CVE-2026-9182: ArcGIS Server 存在不受限制的文件上传漏洞。未认证的攻击者可以通过上传构造的文件到受影响的端点利用此问题,成功利用可能导致任意文件上传。 影响范围 CVE-2026-9181: 影响 ArcGIS Server 12.0 及更早版本。 CVE-2026-9182: 影响 ArcGIS Server 12.0 及更早版本。 修复方案 Cumulative Patch: ArcGIS Server Security 2026 Update 2 Patch 已发布,解决了上述漏洞。强烈建议 ArcGIS Enterprise 客户在两周内应用此补丁以最小化风险。 Mitigation: - CVE-2026-9181: 可以通过部署 Web 应用程序防火墙(WAF)并使用企业加固指南中引用的推荐规则集立即缓解此漏洞。 - CVE-2026-9182: 没有具体的缓解措施提及,但建议尽快安装补丁。 其他信息 发布日期: 2026年5月27日 作者: Mark Bierman, Randall Williams, Michael Young 分类: ArcGIS Blog, Administration, ArcGIS Enterprise 漏洞详情 CVE-2026-9181 描述: ArcGIS Server 存在目录遍历漏洞。 缓解措施: 部署 Web 应用程序防火墙(WAF)并使用企业加固指南中引用的推荐规则集。 CWE-22: 路径名到受限目录的不当限制(路径遍历) Base CVSSv3.1: 9.8 Temporal CVSSv3.1: 9.4 受影响版本: ArcGIS Server 12.0 及更早版本 CVE-2026-9182 描述: ArcGIS Server 存在不受限制的文件上传漏洞。 CWE-434: 危险类型的文件不受限制上传 Base CVSSv3.1: 5.3 Temporal CVSSv3.1: 5.1 受影响版本: ArcGIS Server 12.0 及更早版本 总结 ArcGIS Server 12.0 及更早版本存在两个严重的安全漏洞:目录遍历和不受限制的文件上传。建议用户尽快安装 ArcGIS Server Security 2026 Update 2 Patch 以修复这些问题。对于目录遍历漏洞,可以通过部署 WAF 进行临时缓解。