发布日期：2012-11-09
更新日期：2012-11-12

受影响系统：

ESRI ArcGIS for Server 10.1

描述：

---

BUGTRAQ  ID: 56474
CVE ID: CVE-2012-4949

ArcGIS是Esri公司集40余年地理信息系统（GIS）咨询和研发经验，奉献给用户的一套完整的GIS平台产品，具有强大的地图制作、空间数据管理、空间分析、空间信息整合、发布与共享的能力。

ESRI ArcGIS for Server 10.1及其他版本存在SQL注入漏洞，成功利用后可允许攻击者控制应用、访问或修改数据、利用下层数据库内的其他漏洞。

<*来源：anonymous
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com:6080/arcgis/rest/services//query?f=json&amp;amp;where=featured%3Dtrue&amp;amp;returnGeometry=true&amp;amp;spatialRel=esriSpatialRelIntersects

建议：

---

厂商补丁：

ESRI
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.esrichina-bj.cn/softwareproduct/ArcGIS/

浏览次数：4457
严重程度：0（网友投票）