Vigil@nce - ArcGIS Web Server : injection SQL
novembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser l’interface REST du serveur web ArcGIS,
pour injecter des commandes SQL, afin de lire ou modifier des
données.
– Produits concernés : ArcGIS ArcView, ArcGIS for Desktop
– Gravité : 2/4
– Date création : 12/11/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Le serveur web ArcGIS dispose d’une interface REST, accessible sur
le port 6080/tcp, afin que les utilisateurs puissent interroger le
service à distance.
Le paramètre "where" de la fonctionnalité "query" permet de
filtrer des requêtes. Cependant, ce paramètre n’est pas filtré,
avant d’être injecté dans une requête SQL.
Un attaquant peut donc utiliser l’interface REST du serveur web
ArcGIS, pour injecter des commandes SQL, afin de lire ou modifier
des données.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ArcGIS-Web-Server-injection-SQL-12128