Wiz
Base de données de vulnérabilitésCVE-2025-57870

CVE-2025-57870
ArcGIS Server Analyse et atténuation des vulnérabilités

Aperçu

A SQL Injection vulnerability exists in Esri ArcGIS Server versions 11.3, 11.4 and 11.5 on Windows, Linux and Kubernetes platforms. The vulnerability was discovered and disclosed on October 22, 2025, identified as CVE-2025-57870. This critical vulnerability allows remote, unauthenticated attackers to execute arbitrary SQL commands via a specific ArcGIS Feature Service operation (NVD).

Détails techniques

The vulnerability is classified as CWE-89 (Improper Neutralization of Special Elements used in an SQL Command) and has received the highest possible severity ratings with CVSS v4.0 Base Score of 10 and CVSS v3.1 Base Score of 10 (CRITICAL). The vulnerability vector is CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, indicating network accessibility, low attack complexity, and no required privileges or user interaction (NVD, Esri Blog).

Impact

Successful exploitation of this vulnerability can potentially result in unauthorized access, modification, or deletion of data from the underlying Enterprise Geodatabase. The vulnerability affects feature services that don't utilize hosted feature layers (NVD, Esri Blog).

Atténuation et solutions de contournement

Esri has released a critical security patch that should be applied within two weeks of the October 7, 2025 release date. The patch is non-cumulative, meaning other applicable security patches should be applied first. Additionally, Esri recommends implementing a Web Application Firewall (WAF) for Internet-facing systems, with updated WAF rules (Version 2.2.3) that provide expanded coverage of both Get and Post requests. For customers using ArcGIS Enterprise on Kubernetes 11.3 or 11.4, upgrading to ArcGIS Enterprise 11.5 on Kubernetes is recommended as no patch will be provided for earlier versions (Esri Blog).

Ressources additionnelles

SourceCe rapport a été généré à l’aide de l’IA

Apparenté ArcGIS Server Vulnérabilités:

Identifiant CVE

Sévérité

Score

Technologies

Nom du composant

Exploit CISA KEV

A corrigé

Date de publication

CVE-2025-57870CRITICAL10
  • ArcGIS ServerArcGIS Server
  • cpe:2.3:a:esri:arcgis_server
NonOuiOct 22, 2025
CVE-2024-51962CRITICAL9.6
  • ArcGIS ServerArcGIS Server
  • cpe:2.3:a:esri:arcgis_server
NonOuiMar 03, 2025
CVE-2024-51966MEDIUM4.9
  • ArcGIS ServerArcGIS Server
  • cpe:2.3:a:esri:arcgis_server
NonOuiMar 03, 2025
CVE-2024-5888MEDIUM4.8
  • ArcGIS ServerArcGIS Server
  • cpe:2.3:a:esri:arcgis_server
NonOuiMar 03, 2025
CVE-2024-51963MEDIUM4.8
  • ArcGIS ServerArcGIS Server
  • cpe:2.3:a:esri:arcgis_server
NonOuiMar 03, 2025

Évaluation gratuite des vulnérabilités

Évaluez votre posture de sécurité dans le cloud

Évaluez vos pratiques de sécurité cloud dans 9 domaines de sécurité pour évaluer votre niveau de risque et identifier les failles dans vos défenses.

Demander une évaluation

Ressources Wiz supplémentaires

PEACH

PEACH

Un cadre d’isolation des locataires

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

"La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud."
David EstlickRSSI
"Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud."
Adam FletcherChef du service de sécurité
"Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement."
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités
Demander une démo