CVE-2026-9182
Moderat

CVE-2026-9182: Filupload-sårbarhed i ArcGIS Server

Sårbarhed i ArcGIS Server lader angribere uploade vilkårlige filer uden at logge ind — opdater nu til version over 12.0.

CVSS Score
5.3
Offentliggjort
06/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 1-2 uger

Hvad er det?

ArcGIS Server er en platform fra Esri til at dele og analysere geografiske kort og data. Sårbarheden betyder, at en angriber uden brugernavn eller adgangskode kan uploade en hvilken som helst fil til serveren — herunder skadelige filer som f.eks. webshells (programmer der giver angriberen fjernkontrol over serveren). Fejlen skyldes, at softwaren ikke tjekker ordentligt, hvilke filtyper der må uploades. Teknisk kaldes det en unrestricted file upload-sårbarhed (CWE-434).

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der anvender Esri ArcGIS Server i version 12.0 eller tidligere, og som har serveren tilgængelig via internettet. Det er typisk kommuner, ingeniørfirmaer, forsyningsselskaber, ejendomsselskaber og andre, der arbejder med kortdata og geografisk information. Både Windows- og Linux-baserede servere er berørt.

Hvad kan ske?

En angriber kan uploade en skadelig fil til din ArcGIS Server uden at skulle logge ind. I første omgang giver det angriberen mulighed for at placere filer på din server. Afhængigt af serverens konfiguration kan dette i værste fald føre til:

  • Udførelse af skadelig kode på serveren (f.eks. via en webshell)
  • Adgang til interne systemer og data bag serveren
  • Videre spredning i dit netværk (lateral movement)
  • Misbrug af serveren til angreb mod andre

Selve CVE’en vurderes til at påvirke integritet (I=LOW), men de afledte konsekvenser kan være langt mere alvorlige, hvis serveren er dårligt konfigureret.

Hvor alvorligt er det?

Sårbarheden har en CVSS-score på 5.3 ud af 10 (Moderat). Det lyder måske ikke alarmerende, men vær opmærksom på disse faktorer, der øger den reelle risiko:

  • Ingen login kræves — hvem som helst på internettet kan forsøge angrebet
  • Lav kompleksitet — angrebet er ikke teknisk krævende at udføre
  • Filupload-sårbarheder kan eskalere til fuld serverkontrol, hvis serveren ikke er hærdet korrekt

Scorer alene fortæller ikke hele historien. Vi anbefaler at behandle denne sårbarhed med høj prioritet, hvis din ArcGIS Server er tilgængelig fra internettet.

Hvad gør jeg nu?

Følg disse trin for at beskytte din organisation:

  1. Find ud af, om du er ramt: Tjek om din organisation kører ArcGIS Server version 12.0 eller tidligere. Spørg din IT-leverandør eller systemansvarlige.
  2. Opdater softwaren: Installer den nyeste version af ArcGIS Server fra Esri. Opdateringen lukker sårbarheden.
  3. Begræns adgang til serveren: Hvis ArcGIS Server ikke behøver at være tilgængelig fra internettet, så blokér ekstern adgang via firewall (en digital mur der styrer netværkstrafik) mens du opdaterer.
  4. Tjek uploadmappen: Gennemgå mapper, hvortil filer kan uploades, for ukendte eller mistænkelige filer — og slet dem.
  5. Kontakt din IT-leverandør: Hvis du ikke selv håndterer serveren, informér din leverandør og bed dem opdatere og kontrollere systemet.
Tidsfrist

Opdater inden for 1-2 uger

Sådan ser Auroa det

Vi anbefaler, at du opdaterer ArcGIS Server til en version nyere end 12.0 hurtigst muligt. Filupload-sårbarheder uden krav om login er attraktive mål for angribere, fordi de er lette at udnytte og kan give fodfæste i din infrastruktur. Begræns i mellemtiden ekstern adgang til serveren via firewall, og bed din IT-leverandør bekræfte, at opdateringen er gennemført korrekt.

Tidslinje

06/07/2026
CVE offentliggjort
CVE-2026-9182 blev offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 5.3 (Moderat). Sårbarheden beskrives som en ukontrolleret filupload i ArcGIS Server version 12.0 og tidligere.
06/07/2026
Patch tilgængelig fra Esri
Esri har gjort en opdateret version af ArcGIS Server tilgængelig, der adresserer sårbarheden. Brugere opfordres til at opdatere til en version nyere end 12.0 hurtigst muligt.
07/07/2026
Proof-of-concept tilgængeligt
Tekniske detaljer og proof-of-concept kode (et demonstrationsprogram der viser, hvordan angrebet kan udføres) er blevet tilgængeligt offentligt, hvilket øger risikoen for aktiv udnyttelse.

Konkrete eksempler

Upload af webshell via kortportal

En angriber identificerer en offentligt tilgængelig ArcGIS Server på en kommunes hjemmeside. Uden at logge ind sender angriberen en skjult PHP-webshell (et lille styreprogram gemt i en tilsyneladende harmløs fil) til serverens upload-endpoint. Efterfølgende tilgår angriberen filen via browseren og har nu fuld fjernkontrol over serveren og kan tilgå interne kortdata og bagvedliggende systemer.

Automatiseret scanning og masseudnyttelse

Automatiserede scannere på internettet identificerer hundredvis af sårbare ArcGIS Server-installationer globalt inden for få dage efter CVE-offentliggørelsen. Angribere uploader skadelige filer massevis og etablerer adgang til serverne, som senere sælges videre på kriminelle markedspladser eller bruges til ransomware-angreb (afpresningssoftware der krypterer dine filer).

Intern eskalering via kompromitteret server

En angriber udnytter sårbarheden til at uploade en fil, der giver adgang til ArcGIS Serverens underliggende operativsystem. Herfra bruger angriberen serveren som springbræt til at kortlægge det interne netværk og forsøger at tilgå andre systemer som filservere eller administrative systemer — alt imens aktiviteten ser ud som normal servertrafik.

Ofte stillede spørgsmål

Ramte produkter

Esri — Arcgis Server

≤ 12.0

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

CWE-svaghedstyper

CWE-434

Original NVD-beskrivelse (engelsk)

ArcGIS Server contains an unrestricted file upload vulnerability. An unauthenticated attacker could exploit this issue by uploading a crafted file to the affected endpoint. Successful exploitation could allow arbitrary file upload.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
5.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-9182
Offentliggjort
06/07/2026
Sidst opdateret
08/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 1-2 uger

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.