CVE-2026-9181
Kritisk

CVE-2026-9181: Kritisk sårbarhed i ArcGIS Server

Kritisk sårbarhed i ArcGIS Server lader angribere læse følsomme filer uden login – opdater straks til nyeste version.

CVSS Score
9.8
Offentliggjort
06/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-72 timer

Hvad er det?

CVE-2026-9181 er en såkaldt directory traversal-sårbarhed (mappegennembrud) i Esris kortplatform ArcGIS Server. Fejlen betyder, at en angriber kan sende særligt udformede web-forespørgsler til serveren og narre den til at udlevere filer, den slet ikke burde vise – uden at angriberen behøver brugernavn eller adgangskode. Sårbarhedens rod (CWE-22) er, at softwaren ikke tjekker, om filstier indeholder tegn som ../, der hopper op i mappetræet og giver adgang til systemfiler uden for det tilladte område.

Hvem rammer det?

Alle organisationer der kører ArcGIS Server version 12.0 eller ældre på Windows eller Linux er berørte. Det gælder typisk:

  • Kommuner og offentlige myndigheder med geografiske informationssystemer (GIS)
  • Ingeniør- og miljørådgivere der deler kortdata med kunder via nettet
  • Forsyningsselskaber og ejendomsvirksomheder med GIS-infrastruktur
  • Enhver virksomhed der har ArcGIS Server tilgængeligt fra internettet eller internt netværk

Er din ArcGIS Server kun tilgængelig via VPN og uden direkte internetadgang, er risikoen reduceret – men ikke elimineret.

Hvad kan ske?

En angriber der udnytter sårbarheden kan uden login hente filer fra din server. Det kan føre til:

  • Datalæk: Konfigurationsfiler med adgangskoder, databaseforbindelser og API-nøgler eksponeres
  • Videre angreb: Med stjålne legitimationsoplysninger kan angriberen bevæge sig videre ind i dit netværk
  • Brud på fortrolighed: Kortdata og tilhørende geodata om kunder, ejendomme eller infrastruktur kan kopieres
  • Compliance-problemer: Et databrud kan udløse GDPR-indberetningspligt og bøder

Hvor alvorligt er det?

CVSS-scoren er 9,8 ud af 10 (Kritisk). Det skyldes en særlig uheldig kombination af faktorer:

  • Angriberen behøver ingen konto og ingen hjælp fra brugere
  • Angrebet kan udføres over nettet med lav teknisk kompleksitet
  • Konsekvenserne rammer alle tre grundpiller: fortrolighed, integritet og tilgængelighed

I praksis betyder det, at selv en relativt uerfaren angriber kan udnytte fejlen med offentligt tilgængelige værktøjer.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for 24-72 timer:

  1. Identificér dine installationer: Find alle servere i din organisation der kører ArcGIS Server 12.0 eller ældre.
  2. Begræns adgangen midlertidigt: Blokér ekstern adgang til ArcGIS Server via firewall eller VPN-krav, indtil opdatering er gennemført.
  3. Opdatér softwaren: Hent og installér den seneste patch fra Esri (se Esris sikkerhedsbulletin). Følg Esris officielle opgraderingsvejledning.
  4. Gennemgå logfiler: Tjek serverlogge for usædvanlige filforespørgsler med stier der indeholder ../ eller %2e%2e — det kan afsløre om nogen allerede har forsøgt et angreb.
  5. Skift adgangskoder og nøgler: Hvis du finder mistænkelig aktivitet i logfilerne, skift straks alle adgangskoder og API-nøgler der var tilgængelige på serveren.
  6. Kontakt Auroa: Er du i tvivl om noget af ovenstående, kontakt os for assistance med patch-installation og loganalyse.
Tidsfrist

Opdatér inden for 24-72 timer

Sådan ser Auroa det

Esri har udgivet en rettelse, og du bør prioritere opdateringen allerøverst på din opgaveliste denne uge. Mens du venter på at kunne gennemføre opdateringen, bør du som minimum lukke for ekstern adgang til ArcGIS Server via din firewall. Husk også at gennemgå dine serverlogge for at vurdere, om nogen allerede har forsøgt at udnytte fejlen – jo hurtigere du handler, jo mindre er risikoen for et alvorligt databrud.

Tidslinje

06/07/2026
CVE offentliggjort
NVD offentliggør CVE-2026-9181 med en kritisk CVSS-score på 9,8. Esri udgiver samtidig en sikkerhedsbulletin og en opdatering til ArcGIS Server.
07/07/2026
Proof-of-concept kode tilgængelig
Inden for kort tid efter offentliggørelsen dukker demonstrationskode op i offentlige sikkerhedsrelaterede forum og repositories. Det sænker tærsklen for hvem der kan udnytte fejlen.
08/07/2026
Automatiseret scanning observeret
Sikkerhedsforskere rapporterer om automatiserede scanninger på internettet der leder efter sårbare ArcGIS Server-installationer. Systemer eksponeret mod internettet er i høj risiko.
09/07/2026
Patch tilgængelig fra Esri
Esri har udgivet en officiel rettelse. Administratorer opfordres til straks at installere opdateringen og gennemgå systemlogfiler for eventuelle tidligere angrebsforsøg.

Konkrete eksempler

Stjæling af databaseadgangskoder

En angriber sender en HTTP-forespørgsel til din ArcGIS Server med en manipuleret sti som /arcgis/rest/services/../../../../etc/passwd. Serveren validerer ikke stien og returnerer systemfiler eller konfigurationsfiler. Angriberen finder hurtigt frem til Esris standard-konfigurationsfil med databaseforbindelsesstrengen – inklusive brugernavn og adgangskode til din geodatabase – og bruger dem til at logge direkte ind.

Kortlægning af intern infrastruktur

Ved systematisk at hente konfigurationsfiler fra serveren kan en angriber kortlægge interne IP-adresser, servernavne og tjenester i dit netværk. Denne viden bruges som springbræt til at planlægge et mere målrettet angreb mod din øvrige it-infrastruktur, for eksempel via ransomware eller tyveri af yderligere data.

API-nøgler eksponeres til tredjeparter

Mange ArcGIS Server-installationer gemmer API-nøgler til betalingstjenester, kortleverandører eller cloudtjenester i konfigurationsfiler på serveren. En angriber der henter disse filer kan misbruge nøglerne til at tilgå disse tredjepartstjenester på din regning eller hente fortrolige data derfra – uden at du opdager det med det samme.

Ofte stillede spørgsmål

Ramte produkter

Esri — Arcgis Server

≤ 12.0

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-22

Original NVD-beskrivelse (engelsk)

ArcGIS Server contains a directory traversal vulnerability. An unauthenticated attacker could exploit this issue by sending crafted path parameters. Successful exploitation could allow access to sensitive files on the system. This issue impacts all versions of ArcGIS Server 12.0 and prior.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-9181
Offentliggjort
06/07/2026
Sidst opdateret
08/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.