Er is een opgeslagen cross-site scripting (XSS) kwetsbaarheid ontdekt in ArcGIS HUB en ArcGIS Enterprise Sites, waardoor een geauthenticeerde gebruiker met de mogelijkheid om een site te maken of te bewerken een XSS-payload kan toevoegen en opslaan. Deze opgeslagen XSS-payload kan worden geactiveerd door elke gebruiker, waardoor door een aanvaller geleverde JavaScript in de browser van het slachtoffer kan worden uitgevoerd.
Overzicht
Deze kwetsbaarheid heeft betrekking op versies van Portal for ArcGIS Enterprise Sites tot en met versie 11.4. De impact is beoordeeld met een basis CVSS-score van 4.8, wat neerkomt op een medium risico. De complexiteit van de aanval is laag, maar vereist wel hoge privileges en gebruikersinteractie.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55104?
Het is een kwetsbaarheid in ArcGIS Enterprise Sites die het mogelijk maakt voor aanvallers om JavaScript uit te voeren via opgeslagen XSS.
Welke systemen zijn kwetsbaar voor CVE-2025-55104?
Systemen die Portal for ArcGIS Enterprise Sites gebruiken tot en met versie 11.4 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Raadpleeg de Esri Security Bulletin voor informatie over beschikbare patches en updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan JavaScript uitvoeren in de browser van een gebruiker door misbruik te maken van een opgeslagen XSS-payload.
