🔴 《严重安全漏洞:CVE-2026-13019》

CVSS 评分: 严重(9.8)  状态: Received  发布时间: 2026-07-07


漏洞简介

CVE-2026-13019 是一个存在于 Esri Portal for ArcGIS 中的安全漏洞,属于 关键功能缺少身份验证(Missing Authentication for Critical Function) 问题,对应 CWE-640 分类。该漏洞允许远程、未经过身份验证的攻击者访问一个未受保护的 API(Application Programming Interface,应用程序编程接口)。

受影响的版本包括 Portal for ArcGIS 12.1 及更早版本,运行平台涵盖 Windows、Linux 以及 Kubernetes

影响范围

  • 受影响产品:Esri Portal for ArcGIS
  • 受影响版本:12.1 及更早版本
  • 受影响平台:Windows、Linux、Kubernetes
  • 漏洞类型:关键功能缺少身份验证(CWE-640)

风险分析

根据 CVSS 3.1 评分向量(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),该漏洞的严重性极高,具体风险如下:

  • 攻击复杂度低(AC:L):攻击者无需特殊条件或复杂操作即可利用该漏洞。
  • 无需权限(PR:N):攻击者不需要任何有效的用户凭证或系统访问权限。
  • 无需用户交互(UI:N):攻击过程不需要受害者执行任何操作。
  • 影响范围未改变(S:U):漏洞仅影响受影响的 Portal for ArcGIS 组件本身,不波及其他系统。
  • 机密性、完整性、可用性均为高影响(C:H/I:H/A:H)
    • 机密性:攻击者可能通过未受保护的 API 读取敏感配置数据、用户信息或地理空间数据。
    • 完整性:攻击者可能修改系统配置、用户权限或关键业务数据,导致数据被篡改或系统行为异常。
    • 可用性:攻击者可能通过 API 执行破坏性操作,导致服务中断或系统不可用。

可能的攻击后果:由于该漏洞允许未认证的远程攻击者直接访问关键 API,攻击者可以完全控制受影响的 Portal for ArcGIS 实例,包括但不限于:窃取敏感数据、创建或删除用户账户、修改系统设置、部署恶意内容,甚至利用该入口进一步攻击内部网络。对于依赖 ArcGIS 进行地理信息管理和决策的组织,该漏洞可能导致严重的数据泄露和业务中断风险。


🔍 技术细节

字段
CVE ID CVE-2026-13019
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-640
发布时间 2026-07-07
最后更新 2026-07-07
状态 Received
数据来源 psirt@esri.com

🔗 参考链接