CVE-2026-9181: Kritisk sårbarhed i ArcGIS Server
Kritisk sårbarhed i ArcGIS Server lader angribere læse følsomme filer uden login – opdater straks til nyeste version.
Hvad er det?
CVE-2026-9181 er en såkaldt directory traversal-sårbarhed (mappegennembrud) i Esris kortplatform ArcGIS Server. Fejlen betyder, at en angriber kan sende særligt udformede web-forespørgsler til serveren og narre den til at udlevere filer, den slet ikke burde vise – uden at angriberen behøver brugernavn eller adgangskode. Sårbarhedens rod (CWE-22) er, at softwaren ikke tjekker, om filstier indeholder tegn som ../, der hopper op i mappetræet og giver adgang til systemfiler uden for det tilladte område.
Hvem rammer det?
Alle organisationer der kører ArcGIS Server version 12.0 eller ældre på Windows eller Linux er berørte. Det gælder typisk:
- Kommuner og offentlige myndigheder med geografiske informationssystemer (GIS)
- Ingeniør- og miljørådgivere der deler kortdata med kunder via nettet
- Forsyningsselskaber og ejendomsvirksomheder med GIS-infrastruktur
- Enhver virksomhed der har ArcGIS Server tilgængeligt fra internettet eller internt netværk
Er din ArcGIS Server kun tilgængelig via VPN og uden direkte internetadgang, er risikoen reduceret – men ikke elimineret.
Hvad kan ske?
En angriber der udnytter sårbarheden kan uden login hente filer fra din server. Det kan føre til:
- Datalæk: Konfigurationsfiler med adgangskoder, databaseforbindelser og API-nøgler eksponeres
- Videre angreb: Med stjålne legitimationsoplysninger kan angriberen bevæge sig videre ind i dit netværk
- Brud på fortrolighed: Kortdata og tilhørende geodata om kunder, ejendomme eller infrastruktur kan kopieres
- Compliance-problemer: Et databrud kan udløse GDPR-indberetningspligt og bøder
Hvor alvorligt er det?
CVSS-scoren er 9,8 ud af 10 (Kritisk). Det skyldes en særlig uheldig kombination af faktorer:
- Angriberen behøver ingen konto og ingen hjælp fra brugere
- Angrebet kan udføres over nettet med lav teknisk kompleksitet
- Konsekvenserne rammer alle tre grundpiller: fortrolighed, integritet og tilgængelighed
I praksis betyder det, at selv en relativt uerfaren angriber kan udnytte fejlen med offentligt tilgængelige værktøjer.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt – helst inden for 24-72 timer:
- Identificér dine installationer: Find alle servere i din organisation der kører ArcGIS Server 12.0 eller ældre.
- Begræns adgangen midlertidigt: Blokér ekstern adgang til ArcGIS Server via firewall eller VPN-krav, indtil opdatering er gennemført.
- Opdatér softwaren: Hent og installér den seneste patch fra Esri (se Esris sikkerhedsbulletin). Følg Esris officielle opgraderingsvejledning.
- Gennemgå logfiler: Tjek serverlogge for usædvanlige filforespørgsler med stier der indeholder
../eller%2e%2e— det kan afsløre om nogen allerede har forsøgt et angreb. - Skift adgangskoder og nøgler: Hvis du finder mistænkelig aktivitet i logfilerne, skift straks alle adgangskoder og API-nøgler der var tilgængelige på serveren.
- Kontakt Auroa: Er du i tvivl om noget af ovenstående, kontakt os for assistance med patch-installation og loganalyse.
Opdatér inden for 24-72 timer
Esri har udgivet en rettelse, og du bør prioritere opdateringen allerøverst på din opgaveliste denne uge. Mens du venter på at kunne gennemføre opdateringen, bør du som minimum lukke for ekstern adgang til ArcGIS Server via din firewall. Husk også at gennemgå dine serverlogge for at vurdere, om nogen allerede har forsøgt at udnytte fejlen – jo hurtigere du handler, jo mindre er risikoen for et alvorligt databrud.
Tidslinje
Konkrete eksempler
Stjæling af databaseadgangskoder
En angriber sender en HTTP-forespørgsel til din ArcGIS Server med en manipuleret sti som /arcgis/rest/services/../../../../etc/passwd. Serveren validerer ikke stien og returnerer systemfiler eller konfigurationsfiler. Angriberen finder hurtigt frem til Esris standard-konfigurationsfil med databaseforbindelsesstrengen – inklusive brugernavn og adgangskode til din geodatabase – og bruger dem til at logge direkte ind.
Kortlægning af intern infrastruktur
Ved systematisk at hente konfigurationsfiler fra serveren kan en angriber kortlægge interne IP-adresser, servernavne og tjenester i dit netværk. Denne viden bruges som springbræt til at planlægge et mere målrettet angreb mod din øvrige it-infrastruktur, for eksempel via ransomware eller tyveri af yderligere data.
API-nøgler eksponeres til tredjeparter
Mange ArcGIS Server-installationer gemmer API-nøgler til betalingstjenester, kortleverandører eller cloudtjenester i konfigurationsfiler på serveren. En angriber der henter disse filer kan misbruge nøglerne til at tilgå disse tredjepartstjenester på din regning eller hente fortrolige data derfra – uden at du opdager det med det samme.
Ofte stillede spørgsmål
Hvordan ved jeg, om min ArcGIS Server er sårbar?
Tjek versionsnummeret på din ArcGIS Server-installation. Er versionen 12.0 eller lavere, er du berørt. Du finder versionen i ArcGIS Server Manager under ‘Om’ eller i installationsmappen. Er du i tvivl, kan din IT-ansvarlige eller Auroa hjælpe med at verificere dette.
Behøver angriberen en konto på vores system?
Nej, det er netop det der gør denne sårbarhed særligt alvorlig. En angriber behøver hverken brugernavn, adgangskode eller andre legitimationsoplysninger. Det er nok at kunne sende en forespørgsel til serveren over nettet.
Vi bruger ArcGIS Online – er vi også ramt?
Nej. Denne sårbarhed gælder udelukkende den lokalt installerede version af ArcGIS Server (on-premise). ArcGIS Online er Esris sky-tjeneste og administreres af Esri selv, så du er ikke berørt, hvis du udelukkende bruger den cloud-baserede løsning.
Hvad er en directory traversal-sårbarhed?
Det er en fejl, hvor et program ikke tjekker om en bruger forsøger at navigere uden for de tilladte mapper. Ved at sætte tegnet
../(punktum-punktum-skråstreg) i en filsti kan en angriber hoppe op i mappetræet og tilgå filer, der normalt er beskyttede — for eksempel konfigurationsfiler med adgangskoder.Er der tegn på, at sårbarheden allerede udnyttes aktivt?
Der er på nuværende tidspunkt kendskab til offentliggjort proof-of-concept kode (demonstrationskode der viser at angrebet virker). Det øger risikoen for, at angribere aktivt begynder at søge efter sårbare systemer. Vent ikke med at opdatere.
Hvad gør vi, hvis vi mistænker at have været udsat for et angreb?
Stop ekstern adgang til serveren øjeblikkeligt. Gem en kopi af dine serverlogfiler til videre analyse, og kontakt Auroa eller din IT-sikkerhedsrådgiver. Afhængigt af hvad der kan have været tilgængeligt på serveren, kan du have pligt til at anmelde et muligt databrud til Datatilsynet inden for 72 timer.
Ramte produkter
Esri — Arcgis Server
≤ 12.0
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
ArcGIS Server contains a directory traversal vulnerability. An unauthenticated attacker could exploit this issue by sending crafted path parameters. Successful exploitation could allow access to sensitive files on the system. This issue impacts all versions of ArcGIS Server 12.0 and prior.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
