Esri hat am 7. Oktober 2025 ein wichtiges Sicherheitsupdate für ArcGIS Server veröffentlicht, das eine kritische SQL-Injection-Schwachstelle (CVE-2025-57870) in den Versionen 11.3, 11.4 und 11.5 auf Windows, Linux und Kubernetes behebt. Die Lücke wurde mit einem CVSS-Score von 10 bewertet – Administrator:innen sollten den Patch daher umgehend installieren.
Laut Esri ist bislang kein aktiver Exploit bekannt, dennoch wird eine Installation innerhalb der nächsten zwei Wochen dringend empfohlen. Der Patch ist nicht kumulativ, daher sollten vorher alle relevanten Updates eingespielt werden.
Für Internet-exponierte Systeme rät Esri zusätzlich zur Absicherung durch aktualisierte Web Application Firewall (WAF)-Regeln, die im ArcGIS Trust Center (Version 2.2.3) bereitstehen. Systeme mit ArcGIS Server 11.2 und älter sind nicht betroffen. Kubernetes-Nutzer:innen auf Version 11.3 oder 11.4 müssen auf 11.5 aktualisieren, da kein separater Patch bereitgestellt wird.
