Le blog francophone consacré
aux technologies Esri
Correctif de sécurité pour les services d'entités ArcGIS Server

Correctif de sécurité pour les services d'entités ArcGIS Server


Afin de faire d'ArcGIS Enterprise un SIG toujours plus robuste et sécurisé, Esri vient de mettre à disposition un correctif de sécurité qui qui résout une vulnérabilité critique d’injection SQL dans ArcGIS Server versions 11.3, 11.4 et 11.5, sur Windows, Linux et Kubernetes.

Bien qu’aucune exploitation active de cette faille n’ait encore été observée Esri, dans une démarche pro-active, recommande vivement d’appliquer ce correctif dans les deux semaines suivant sa publication afin de réduire les risques au minimum.

Il est important de prendre en considération les points suivants : 

  • Non cumulatif : Contrairement à la plupart des correctifs de sécurité ArcGIS, celui-ci n’est pas cumulatif. Esri vous recommande d’installer tous les autres correctifs de sécurité applicables à votre version avant celui-ci. L’utilitaire de notification de correctifs (Patch Notification Utility) peut faciliter cette procédure. 
  • Portée : Cette vulnérabilité n’affecte pas les services d’entités utilisant uniquement des couches d’entités hébergées.
  • Atténuation : L’utilisation d’un pare-feu applicatif web (WAF) est fortement recommandée pour les systèmes exposés à Internet, conformément aux bonnes pratiques décrites dans le Guide de renforcement ArcGIS Enterprise (disponible sur le site de la Géo-Communauté et dans la section des documents du Centre de confiance ArcGIS – ArcGIS Trust Center). Les règles WAF recommandées par Esri ont été mises à jour ce mois-ci (version 2.2.3) pour élargir la couverture des requêtes GET et POST, améliorant ainsi la protection contre cette vulnérabilité et d’autres menaces similaires.
  • Versions non concernées : Cette vulnérabilité n’affecte pas les versions 11.2 et antérieures d’ArcGIS Server et n’affectera pas les versions 12.0 et ultérieures lors de leur sortie.
  • ArcGIS Enterprise on Kubernetes : Les clients utilisant ArcGIS Enterprise sur Kubernetes en version 11.3 ou 11.4 ne recevront pas de correctif pour cette vulnérabilité. Ils doivent mettre à niveau vers ArcGIS Enterprise 11.5 sur Kubernetes.
  • Mise à niveau de la géodatabase : Cette étape est indépendante du correctif de sécurité et ne traite que le BUG-000178298. Les utilisateurs peuvent tester et planifier la mise à niveau de la géodatabase ultérieurement.



Esri fournit des scores Common Vulnerability Scoring System v.4.0 et 3.1 (CVSS) pour permettre à nos clients de mieux évaluer le risque de ces vulnérabilités pour leurs opérations.

Détails de la vulnérabilité :

  • Identifiant CVE : CVE-2025-57870
  • CWE-89 Neutralisation incorrecte d'éléments spéciaux utilisés dans une commande SQL
    ("injection SQL")
  • Score de base CVSS v4.0 :  10
  • Score de base CVSS v3.1 :  10

Vous pouvez retrouver plus de détails au sujet de cette vulnérabilité sur cet article du support qui contient également un lien de téléchargement du correctif et la procédure de mise à niveau de votre geodatabase.
Vous pouvez retrouver les recommandations de sécurité pour l’année 2025 dans cet article arcOrama

Ajouter un commentaire
, , , Modifier

Partager cet article:

Rejoindre la discussion

    Les commentaires à propos de cet article:
Inscription à : Publier les commentaires ( Atom )