一、漏洞内容

   arcgis 10.2 在apifox上输入 http://192.168.0.100:8004/arcgis/manager/3370/js//../WEB-INF/

任意用户可获取ArcGIS的manager应用服务配置。直接下载到了文件，服务器存在安全漏洞，安全不通过。描述如下

GET /arcgis/manager/3370/js//../WEB-INF/ HTTP/1.1

Host: 192.168.0.100:8004

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36 Edg/124.0.0.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6

Cookie: rsaPublicKey=null; SET_LAST_TIME=1718629101702; JSESSIONID=4B42D30C8363CF0F08592DC3D2C626EA

Connection: close

X-Forwarded-For: 36.56.205.195

二、问题分析

    ArcGIS后台网站采用J2EE并通过tomcat侦听，物理路径位于 [ArcGIS安装位置]\Server\framework\runtime\tomcat。

在tomcat下的manager应用配置文件（即webapps\arcgis#manager\WEB-INF\，也就是被暴露的文件本身）中，存在一条对虚拟路径“3370/*”进行解析的filter-mapping节点，该节点对匹配的访问执行“BuildNumFilter”过滤器，允许通过虚拟路径访问该应用下的子文件夹。该过滤器对路径处理存在尚未研明的问题，允许访问同级匹配的WEB-INF和META-INF文件夹。

     在使用3370/*后，arcgis#manager下的所有文件，比如新建一个 、doc、config 统统都能打开或者下载，因此需要对做过滤。

三、解决方案

    将问题所在应用的的filter-mapping的匹配url-pattern拆分为3条，即从“/3370/*”改为“3370/js/*”、“/3370/css/*”和“/3370/proxy/*”。这样只允许下载和访问js、css、以及proxy代理等