1. 主页
  2. 支持
技术文章 - CS363561

Axeda 代理和 Axeda 桌面服务器中发现的安全漏洞

已修改: 28-May-2024   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • Axeda - Connectivity 6.9.4
  • All versions of Axeda agent
  • All versions of Axeda Desktop Server for Windows 

说明

CISA ICS 咨询(ICSA-22-067-01)
https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-01
  • 桌面服务器
    • CVE-2022-25246
      • CVE 描述:受影响的产品使用硬编码凭据进行 UltraVNC 安装。成功利用此漏洞可使远程经过身份验证的攻击者完全远程控制主机操作系统
      • CWE-798:使用硬编码凭证
      • CVSS 3.1 评分:9.8(严重)
      • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • CVE-2022-25250
      • CVE 描述:当连接到某个端口时,Axeda 代理(所有版本)和 Axeda Desktop Server for Windows(所有版本)可能允许攻击者在未经身份验证的情况下向特定端口发送某个命令。成功利用此漏洞可能允许远程未经身份验证的攻击者关闭特定服务
      • CVSS 3.1 评分:7.5(高)
      • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • 远程服务器
    • 系统访问
      • CVE-2022-25247
      • CVE 描述:受影响的产品可能允许攻击者在未经身份验证的情况下向特定端口发送某些命令。成功利用此漏洞可能允许远程未经身份验证的攻击者获得完整的文件系统访问权限并执行远程代码。
      • CWE-306:缺少关键功能的身份验证
      • CVSS 3.1 评分:9.8(严重)
      • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • 事件文本日志
      • CVE-2022-25248
      • CVE 描述:受影响的产品在连接到某个端口时会提供特定服务的事件日志。
      • CWE-200:向未经授权的行为者泄露敏感信息
      • CVSS 3.1 评分:5.3(中等)
      • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
  • xGate 和 EKernel
    • 目录遍历(不适用于 Axeda 代理 6.9.2 和 6.9.3)
      • CVE-2022-25249
      • CVE 描述:受影响的产品(不考虑 Axeda 代理 v6.9.2 和 v6.9.3)容易受到目录遍历攻击,这可能允许远程未经身份验证的攻击者通过 Web 服务器获取文件系统读取权限。
      • CWE-22:将路径名不当限制在受限目录中(“路径遍历”)
      • CVSS 3.1 评分:7.5(高)
      • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • 关闭 xGate 和 EKernel
      • CVE-2022-25250
      • CVE描述:受影响的产品可能允许攻击者在未经身份验证的情况下向特定端口发送某条命令。成功利用此漏洞可允许远程未经身份验证的攻击者关闭特定服务
      • CWE-306:缺少关键功能的身份验证
      • CVSS 3.1 评分:7.5(高)
      • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • 读取和修改代理配置
      • CVE-2022-25251
      • CVE 描述:受影响的产品可能允许攻击者在未经适当身份验证的情况下向特定端口发送某些 XML 消息。成功利用此漏洞可能允许远程未经身份验证的攻击者读取和修改受影响产品的配置。
      • CWE-306:缺少关键功能的身份验证
      • CVSS 3.1 评分:9.8(严重)
      • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • 库模块-xBase39
    • CVE-2022-25252
    • CVE 描述:受影响的产品在接收某些输入时会抛出异常。使用该函数的服务不会处理该异常。成功利用此漏洞可能允许远程未经身份验证的攻击者使受影响的产品崩溃。
    • CWE-703:异常情况检查或处理不当
    • CVSS 3.1 评分:7.5(高)
    • CVSS 3.1 矢量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • 请注意,PTC 没有迹象表明或意识到这些漏洞已被利用或正在被利用。
这是文章 363561 的 PDF 版本,可能已过期。最新版本 CS363561