Esri hat kritische Sicherheitslücken in Portal for ArcGIS identifiziert, die Developer Credentials (API Keys / OAuth 2.0) betreffen.
Betroffene Versionen
- Portal for ArcGIS 11.5 und 12.0
- Zwei kritische Schwachstellen (CVSS bis 9,8), die zu falsch bzw. zu weit vergebenen Berechtigungen führen können.
Patch-Status
- Sicherheits-Patch veröffentlicht am 13.04.2026
→ Installation mit höchster Priorität empfohlen. - Der Patch setzt überprivilegierte Developer Credentials auf Standardrechte zurück.
- Installation außerhalb der Geschäftszeiten empfohlen, da Anwendungen/Skripte beeinträchtigt werden können.
- Wichtig:
Ein Deinstallieren des Patches macht die Berechtigungsänderungen nicht rückgängig → Backup vorab erforderlich. - Hinweis: Patch für Web-Tier-Authentication war kurzzeitig deaktiviert und wird korrigiert bereitgestellt.
- Kubernetes-Umgebungen: ArcGIS Enterprise 12.0 Update 3 anwenden.
Wer ist betroffen?
- Nur Organisationen, die Developer Credentials nutzen (API Keys oder OAuth 2.0).
- Wenn keine Developer Credentials im Einsatz sind, besteht keine Verwundbarkeit.
Alle weiteren Informationen finden Sie unter https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/april2026_security_bulletin
powered by 