Kritische Schwachstelle in ArcGIS Enterprise ermöglicht Passwort-Zurücksetzung des Admin-Kontos

Eine kritische Sicherheitslücke (CVE-2025-2538) betrifft bestimmte ArcGIS Enterprise-Deployments. Die Schwachstelle erlaubt es Angreifern, ohne Authentifizierung und ohne Benutzerinteraktion, das Passwort des integrierten Administrator-Kontos in Portal for ArcGIS zurückzusetzen.

Die Sicherheitslücke wurde am 20. März 2025 in der GitHub Advisory Database und zuvor in der National Vulnerability Database (NVD) veröffentlicht. Betroffen sind alle Systeme bis ArcGIS 11.4, 11.3, 11.2, 11.1, und 10.9.1.

Details zur Lücke:

  • Angriffsvektor: Netzwerk
  • Komplexität: Gering
  • Rechte erforderlich: Keine
  • Vertraulichkeit, Integrität, Verfügbarkeit: Hoch gefährdet
  • CVSS-Score: 9.8 / 10.0 (kritisch)
  • CWE-798: Verwendung von fest kodierten Zugangsdaten

Administratoren sollten umgehend die Hinweise im offiziellen Esri Security Blog prüfen und sich auf ein Update vorbereiten.

Dringende Warnung: Aufgrund der Schwere der Lücke und der Tatsache, dass keine Authentifizierung nötig ist, sollten betroffene Systeme nicht öffentlich erreichbar sein, oder sofort gepatcht werden.

Related Posts

LibreOffice CVE-2025-1080 – Macro URL Arbitrary Script Execution

Am 4. März 2025 wurde die kritische Sicherheitslücke CVE-2025-1080 in LibreOffice bekannt, die es ermöglicht, interne Makros mit beliebigen Argumenten auszuführen. Die Schwachstelle betrifft die Unterstützung von Office URI-Schemata, die zur Integration mit Microsoft SharePoint dienen. Durch das neu eingeführte Schema „vnd.libreoffice.command“ konnten Angreifer speziell präparierte Browser-Links erstellen, die beim Öffnen in LibreOffice die Ausführung von Makros auslösen.

Read More

Laravel Reflected XSS via Route- und Request-Parameter in Debug-Mode Error Page

Der beliebte PHP Framework Laravel ist in den Versionen zwischen 11.9.0 und 11.35.1 von zwei kritischen Reflected Cross-Site Scripting (XSS)-Schwachstellen betroffen. Beide Schwachstellen treten im Debug-Modus (APP_DEBUG=true) auf, wenn ein HTTP-Fehler (5XX) generiert wird. Dabei werden entweder Route-Parameter oder Request-Parameter unzureichend encoded und direkt in die Fehlerseite eingebettet, was es Angreifern ermöglicht, schadhaften JavaScript-Code in den Browser des Benutzers einzuschleusen.

Read More

Node.js xml-crypto: XML-Signatur-Verification Bypass via Multiple SignedInfo References

Die kritische Sicherheitslücke CVE-2025-29774 wurde in der npm-Bibliothek xml-crypto entdeckt, die Versionen <= 6.0.0 betrifft. Durch das Einfügen mehrerer SignedInfo-Knoten in einem XML-Signaturblock kann ein Angreifer eine gültig signierte XML-Nachricht so manipulieren, dass sie dennoch die Signaturprüfung besteht. Dies ermöglicht das Umgehen von Authentifizierungs- und Autorisierungsmechanismen, was unter Umständen zu Privilegieneskalationen oder Identitätsübernahmen führen kann.

Read More