Mit diesem Beitrag möchten wir Sie auf den aktuellen ArcGIS Server Feature Service Security Patch aufmerksam machen. Von uns erhalten Sie wichtige Hinweise sowie Details zur Schwachstelle. Dieser Patch behebt eine kritische SQL-Injection-Schwachstelle in den ArcGIS Server-Versionen 11.3, 11.4 und 11.5 unter Windows, Linux und Kubernetes.
Am 7. Oktober 2025 wurde der betreffende Patch veröffentlicht, und obwohl ein Exploit für diese Schwachstelle noch nicht in freier Wildbahn ist, empfehlen wir allen mit entsprechenden Systemen, diesen Patch innerhalb der nächsten zwei Wochen zu installieren, um das Risiko zu minimieren.
Wichtige Hinweise
Nicht kumulativ – Im Gegensatz zu den meisten ArcGIS-Sicherheitspatches ist dieser nicht kumulativ, daher installieren Sie im Idealfall zuerst alle anderen anwendbaren Sicherheitspatches für Ihre Version. Die Verwendung des Patch-Notification-Tools kann diesen Prozess vereinfachen. Dieser Patch ist NICHT von anderen Patches abhängig.
Geltungsbereich – Diese Schwachstelle betrifft NICHT Feature-Services, die nur gehostete Feature-Layer verwenden.
Risikominderung – Eine Web Application Firewall (WAF) wird dringend für Systeme mit Internetzugriff empfohlen, wie im ArcGIS Enterprise Hardening Guide (ArcGIS Trust Center -> Dokumente) beschrieben. Die WAF-Regelempfehlungen von Esri wurden diesen Monat aktualisiert (siehe Version 2.2.3 im ArcGIS Trust Center), um die Abdeckung von Get- und Post-Anforderungen zu erweitern und diese und andere Sicherheitslücken besser zu entschärfen.
Nicht betroffene Versionen – Dieses Problem wirkt sich nicht auf ArcGIS Server-Versionen 11.2 und früher aus und wirkt sich auch nicht auf Version 12 oder höher aus, wenn sie veröffentlicht wird.
Kubernetes – Kundinnen und Kunden mit ArcGIS Enterprise on Kubernetes 11.3 oder 11.4 erhalten keinen Patch für dieses Problem und sollten ein Upgrade auf ArcGIS Enterprise 11.5 on Kubernetes durchführen.
Geodatabase-Upgrade – Dieser Patch-Schritt ist unabhängig von diesem Sicherheitsfix, da er nur BUG-000178298 behebt. Den Benutzenden steht es frei, ein Geodatabase-Upgrade zu einem späteren Zeitpunkt zu testen und zu planen.
Patch-Download
Laden Sie den Patch hier herunter:
Weiterführende Informationen
Wir bieten CVSS-Bewertungen nach dem Common Vulnerability Scoring System v.4.0 und 3.1 (Common Vulnerability Scoring System) an, damit unsere Kundinnen und Kunden das Risiko dieser Schwachstellen für ihren Betrieb besser einschätzen können.
Details zur Schwachstelle
- CVE ID: CVE-2025-57870
- CWE-89 Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
- CVSS v4.0 Base Score: 10
- CVSS v3.1 Base Score: 10
Lesen Sie diesen Beitrag hier im Original.
