技术文章 - CS332773
ThingWorx 9.1 及更早版本中授权模型缺陷的安全影响
已修改: 16-Jan-2023
适用于
- ThingWorx Platform 8.4 to 9.1
- and earlier versions
说明
- 作为分析和改进 ThingWorx 权限模型的安全性和功能的持续努力的一部分,PTC 在 9.2.0 之前的版本中发现了 ThingWorx Foundation 权限存储方式的架构缺陷
- 当创建一个与前一个用户同名的新用户时,新用户拥有旧用户的所有权限
- 删除用户帐户并创建一个具有相同名称(但代表不同的实际人)的新用户帐户后,新用户将继承前一个用户的权限
- 此特定问题可能允许管理员删除用户,随后,如果重新创建具有相同名称的用户,则此新用户将承担旧用户的权限
- 尽管在相对较少的情况下这可能代表安全漏洞,但 PTC 重新构建了 ThingWorx 权限方案以解决它
这是文章 332773 的 PDF 版本,可能已过期。最新版本 CS332773