技术文章 - CS307479
Windchill / FlexPLM 中的富文本编辑器拼写检查插件可能存在无意中泄露信息的情况
已修改: 03-Sep-2024
适用于
- FlexPLM 11.0 F000 to 11.1 M020
- Windchill PDMLink 11.0 F000 to 11.2.0.0
- Windchill QMS 11.0 F000 to 11.2.0.0
- Windchill MPMLink 11.0 F000 to 11.2.0.0
- Pro/INTRALINK 8.x + 11.0 to 11.2
说明
CVSS:8.9
3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:H
CWE 200:信息曝光
PTC 不知道或没有任何理由相信存在信息泄露,但提供此更新是为了让客户能够评估自己对拼写检查功能的使用情况。
3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:H
CWE 200:信息曝光
PTC 不知道或没有任何理由相信存在信息泄露,但提供此更新是为了让客户能够评估自己对拼写检查功能的使用情况。
- PTC 强烈建议所有 Windchill 和 FlexPLM 客户尽快更新其部署以删除拼写检查插件。
- 拼写检查插件用于 Windchill / FlexPLM 中的选择性文本字段,例如更改对象注释字段。
- 有一个补丁程序可用于删除所有受支持的 Windchill / FlexPLM 版本的“拼写检查”插件。
- 我们的计划是在 2019 年秋季重新引入类似的功能。
- 从 Windchill 11.0 开始的 Windchill / FlexPLM 客户应该知道,富文本编辑器拼写检查插件会将选定的拼写检查文本发送到外部第三方 Web 服务。
- 这意味着 PTC 无法保证或担保拼写检查服务的任何内容,包括服务的安全性、发送到服务的数据的保留或存储,或者数据可能的传播或重复使用。
- 虽然该插件存在安全风险,但风险级别会根据以下因素而有所不同:
- 用户是否使用拼写检查功能
- 客户用户使用富文本编辑器输入到 UI 页面的信息
- 客户对敏感信息的分类
- 使用 HTTP 而非 HTTPS 的客户面临中间人攻击的风险,该攻击会获取传输到第三方服务的数据
- 拼写检查插件的详细信息:
- 拼写检查插件可以提供“输入时拼写检查” (SCAYT)或按需检查字段内容的拼写
- 仅当选择以下两个选项之一时,拼写检查插件才会将富文本字段中的文本数据发送到服务
- 不会在拼写检查过程中显示或发送任何 CAD 文件或业务对象
- 默认情况下,这两个选项均未启用
- 这两个选项都不是“固定的”,每次在 Windchill UI 中加载页面时,都必须为富文本编辑器的每个实例重新选择它们
- 带有拼写检查插件的富文本编辑器仅用于以下 UI 页面和字段:
| Product | Page | Field |
| Windchill PDMLink | New / Edit Change Request | Description |
| Proposed Solution | ||
| New / Edit Problem Report | Description | |
| New / Edit Change Notice | Description | |
| New / Edit Change Task | Description | |
| New / Edit Design Review | Description | |
| New / Edit Variance | Description | |
| Reason | ||
| E-Mail Document | Additional Message Text | |
| Windchill QMS | New / Edit Audit | Audit Criteria -> Reason |
| Windchill MPMLink | New / Edit Standard Control Characteristics | Long Description |
| FlexPLM | E-Mail Page | Message Body |
这是文章 307479 的 PDF 版本,可能已过期。最新版本 CS307479