Die Schwachstelle betrifft den ArcGIS Server von Esri, eine Server-Software zur Bereitstellung von Karten- und Geodaten-Diensten. Es handelt sich um eine Directory-Traversal-Lücke: Über manipulierte Pfadangaben kann ein Angreifer aus dem vorgesehenen Verzeichnis ausbrechen und auf Dateien außerhalb davon zugreifen. Ausnutzbar ist der Fehler aus der Ferne und ohne vorherige Anmeldung – ein unauthentifizierter Angreifer sendet dazu präparierte Pfadparameter. Gelingt der Angriff, lassen sich sensible Dateien auf dem System überschreiben. In der Folge kann sich der Angreifer vollständigen administrativen Zugriff auf den ArcGIS Server verschaffen und damit Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Dienste umfassend beeinträchtigen. Betroffen sind die Installationen unter Windows und Linux; die Kubernetes-Variante ArcGIS Enterprise for Kubernetes ist nach Herstellerangaben nicht betroffen.
CVE-2026-9181
9,8
CRITICAL
CVSS Basis-Score
Beschreibung