Server Side Request Forgery (SSRF) vulnerability in Portal for ArcGIS (10.9.1, 10.8.1 and 10.7.1 only)

Portal for ArcGIS no bloquea adecuadamente ataques de falsificación de solicitudes del lado del servidor (SSRF), permitiendo que un atacante no autenticado fuerce al servidor a realizar solicitudes a URLs arbitrarias. Esto puede exponer recursos internos de la red o información sensible que no debería ser accesible desde el exterior.

Un atacante remoto no autenticado puede eludir las protecciones contra SSRF en Portal for ArcGIS (versiones 10.9.1 e inferiores) para falsificar solicitudes HTTP originadas desde el servidor vulnerable a URLs arbitrarias. Esto permite reconocimiento de red y potencial exfiltración de datos desde hosts internos, con impacto significativo en la red según CVSS 7.5.