CVE-2026-9182: Filupload-sårbarhed i ArcGIS Server
Sårbarhed i ArcGIS Server lader angribere uploade vilkårlige filer uden at logge ind — opdater nu til version over 12.0.
Hvad er det?
ArcGIS Server er en platform fra Esri til at dele og analysere geografiske kort og data. Sårbarheden betyder, at en angriber uden brugernavn eller adgangskode kan uploade en hvilken som helst fil til serveren — herunder skadelige filer som f.eks. webshells (programmer der giver angriberen fjernkontrol over serveren). Fejlen skyldes, at softwaren ikke tjekker ordentligt, hvilke filtyper der må uploades. Teknisk kaldes det en unrestricted file upload-sårbarhed (CWE-434).
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der anvender Esri ArcGIS Server i version 12.0 eller tidligere, og som har serveren tilgængelig via internettet. Det er typisk kommuner, ingeniørfirmaer, forsyningsselskaber, ejendomsselskaber og andre, der arbejder med kortdata og geografisk information. Både Windows- og Linux-baserede servere er berørt.
Hvad kan ske?
En angriber kan uploade en skadelig fil til din ArcGIS Server uden at skulle logge ind. I første omgang giver det angriberen mulighed for at placere filer på din server. Afhængigt af serverens konfiguration kan dette i værste fald føre til:
- Udførelse af skadelig kode på serveren (f.eks. via en webshell)
- Adgang til interne systemer og data bag serveren
- Videre spredning i dit netværk (lateral movement)
- Misbrug af serveren til angreb mod andre
Selve CVE’en vurderes til at påvirke integritet (I=LOW), men de afledte konsekvenser kan være langt mere alvorlige, hvis serveren er dårligt konfigureret.
Hvor alvorligt er det?
Sårbarheden har en CVSS-score på 5.3 ud af 10 (Moderat). Det lyder måske ikke alarmerende, men vær opmærksom på disse faktorer, der øger den reelle risiko:
- Ingen login kræves — hvem som helst på internettet kan forsøge angrebet
- Lav kompleksitet — angrebet er ikke teknisk krævende at udføre
- Filupload-sårbarheder kan eskalere til fuld serverkontrol, hvis serveren ikke er hærdet korrekt
Scorer alene fortæller ikke hele historien. Vi anbefaler at behandle denne sårbarhed med høj prioritet, hvis din ArcGIS Server er tilgængelig fra internettet.
Hvad gør jeg nu?
Følg disse trin for at beskytte din organisation:
- Find ud af, om du er ramt: Tjek om din organisation kører ArcGIS Server version 12.0 eller tidligere. Spørg din IT-leverandør eller systemansvarlige.
- Opdater softwaren: Installer den nyeste version af ArcGIS Server fra Esri. Opdateringen lukker sårbarheden.
- Begræns adgang til serveren: Hvis ArcGIS Server ikke behøver at være tilgængelig fra internettet, så blokér ekstern adgang via firewall (en digital mur der styrer netværkstrafik) mens du opdaterer.
- Tjek uploadmappen: Gennemgå mapper, hvortil filer kan uploades, for ukendte eller mistænkelige filer — og slet dem.
- Kontakt din IT-leverandør: Hvis du ikke selv håndterer serveren, informér din leverandør og bed dem opdatere og kontrollere systemet.
Opdater inden for 1-2 uger
Vi anbefaler, at du opdaterer ArcGIS Server til en version nyere end 12.0 hurtigst muligt. Filupload-sårbarheder uden krav om login er attraktive mål for angribere, fordi de er lette at udnytte og kan give fodfæste i din infrastruktur. Begræns i mellemtiden ekstern adgang til serveren via firewall, og bed din IT-leverandør bekræfte, at opdateringen er gennemført korrekt.
Tidslinje
Konkrete eksempler
Upload af webshell via kortportal
En angriber identificerer en offentligt tilgængelig ArcGIS Server på en kommunes hjemmeside. Uden at logge ind sender angriberen en skjult PHP-webshell (et lille styreprogram gemt i en tilsyneladende harmløs fil) til serverens upload-endpoint. Efterfølgende tilgår angriberen filen via browseren og har nu fuld fjernkontrol over serveren og kan tilgå interne kortdata og bagvedliggende systemer.
Automatiseret scanning og masseudnyttelse
Automatiserede scannere på internettet identificerer hundredvis af sårbare ArcGIS Server-installationer globalt inden for få dage efter CVE-offentliggørelsen. Angribere uploader skadelige filer massevis og etablerer adgang til serverne, som senere sælges videre på kriminelle markedspladser eller bruges til ransomware-angreb (afpresningssoftware der krypterer dine filer).
Intern eskalering via kompromitteret server
En angriber udnytter sårbarheden til at uploade en fil, der giver adgang til ArcGIS Serverens underliggende operativsystem. Herfra bruger angriberen serveren som springbræt til at kortlægge det interne netværk og forsøger at tilgå andre systemer som filservere eller administrative systemer — alt imens aktiviteten ser ud som normal servertrafik.
Ofte stillede spørgsmål
Bruger vi ArcGIS Server — hvordan finder vi ud af det?
Spørg din IT-ansvarlige eller IT-leverandør, om ArcGIS Server fra Esri er installeret i jeres miljø. Det bruges typisk til at dele eller analysere kortdata og geografisk information internt eller med kunder. Du kan også søge efter ‘ArcGIS Server’ i jeres systemliste eller softwaredokumentation.
Er vi i fare, hvis vores server kun er tilgængelig internt?
Risikoen er betydeligt lavere, hvis ArcGIS Server kun er tilgængelig inden for jeres interne netværk og ikke fra internettet. Men du bør stadig opdatere, da interne brugere eller kompromitterede enheder også potentielt kan udnytte sårbarheden.
Hvad er en webshell, og hvorfor er det farligt?
En webshell er et lille program, som en angriber kan uploade til en server og derefter bruge til at fjernstyre den — lidt som at give nogen en hemmelig bagdør ind i din server. Herfra kan angriberen læse, ændre eller slette data, og forsøge at sprede sig til resten af dit netværk.
Er opdateringen gratis?
Sikkerhedsopdateringer til ArcGIS Server leveres typisk af Esri som en del af din vedligeholdelsesaftale. Kontakt Esri eller din lokale forhandler for at få adgang til den nyeste version. Har du ikke en aktiv vedligeholdelsesaftale, bør du undersøge dine muligheder hurtigst muligt.
Kan vi se, om nogen allerede har udnyttet sårbarheden mod os?
Kig i serverens logfiler (optegnelser over aktivitet på serveren) efter usædvanlige filuploads, ukendte filer i upload-mapper eller uventede HTTP-forespørgsler. Hvis I ikke selv har kompetencerne til dette, kan en IT-sikkerhedsleverandør hjælpe med at gennemgå logfilerne og vurdere, om der har været mistænkelig aktivitet.
Ramte produkter
Esri — Arcgis Server
≤ 12.0
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
ArcGIS Server contains an unrestricted file upload vulnerability. An unauthenticated attacker could exploit this issue by uploading a crafted file to the affected endpoint. Successful exploitation could allow arbitrary file upload.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
