1. 主页
  2. 支持
技术文章 - CS291004

ThingWorx Platform 6.5 - 8.2 中发现三个安全漏洞

已修改: 16-Jan-2023   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • ThingWorx Platform 6.5 F000 to 8.2 SP3
  • Windchill Navigate (formerly ThingWorx Navigate) 1.0 to 1.6.0
  • ThingWorx Manufacturing Apps Family 8.0.0 to 8.3.0
  • Vuforia Studio 8.0.0 to 8.2.3
  • Servigistics Connected Field Service 6.5 to 7.2.1
  • ThingWorx Edge SDK 6.0 to 6.1.0
  • PTC Modeler 8.4 to 8.5
  • ThingWorx Kepware Server 8.0 to 8.2
  • PTC Navigate Manage Traces Lifecycle Manager Extension
  • Flex PLM Tech Pack Connect App

说明

  • ThingWorx Platform 6.5 - 8.2 中发现三个安全漏洞
  • 问题类型:
    • 密码哈希暴露给特权用户
    • 硬编码加密密钥
    • SQUEAL 搜索功能中反映的 XSS
问题名称漏洞# CVSS 分数CWE支持详情
密码哈希暴露CVE-2018-17216 6.6 CWE-522:凭证保护不足https://support.ptc.com/view?im_dbkey=174792
硬编码密钥CVE-2018-17217 8.8 CWE-321:硬编码密钥的使用https://support.ptc.com/view?im_dbkey=174791
SQUEAL 中的反射型 XSS CVE-2018-17218 6.5 CWE-70:跨站点脚本https://support.ptc.com/view?im_dbkey=174793

PTC 感谢 SEC Consult Vulnerability Lab 的 Matteo Tomaselli 负责任地报告已发现的问题并与 PTC 合作解决这些问题

SEC Consult 的咨询: https ://r.sec-consult.com/ptc
这是文章 291004 的 PDF 版本,可能已过期。最新版本 CS291004