1. ホーム
  2. サポート
アーティクル - CS291004

ThingWorx Platform 6.5 - 8.2 で見つかった 3 つのセキュリティ脆弱性

修正日: 16-Jan-2023   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Platform 6.5 F000 to 8.2 SP3
  • Windchill Navigate (formerly ThingWorx Navigate) 1.0 to 1.6.0
  • ThingWorx Manufacturing Apps Family 8.0.0 to 8.3.0
  • Vuforia Studio 8.0.0 to 8.2.3
  • Servigistics Connected Field Service 6.5 to 7.2.1
  • ThingWorx Edge SDK 6.0 to 6.1.0
  • PTC Modeler 8.4 to 8.5
  • ThingWorx Kepware Server 8.0 to 8.2
  • PTC Navigate Manage Traces Lifecycle Manager Extension
  • Flex PLM Tech Pack Connect App

説明

  • ThingWorx Platform 6.5 - 8.2 で見つかった 3 つのセキュリティ脆弱性
  • 問題の種類:
    • 特権ユーザーへのパスワード ハッシュの公開
    • ハードコードされた暗号鍵
    • SQUEAL検索機能に反映されるXSS
問題名CVE番号CVSSスコアCWEサポート内容
パスワード ハッシュの露出CVE-2018-17216 6.6 CWE-522: クレデンシャルの保護が不十分https://support.ptc.com/view?im_dbkey=174792
ハードコードされたキーCVE-2018-17217 8.8 CWE-321: ハードコードされた暗号鍵の使用https://support.ptc.com/view?im_dbkey=174791
SQUEALに反映されたXSS CVE-2018-17218 6.5 CWE-70: クロスサイト スクリプティングhttps://support.ptc.com/view?im_dbkey=174793

PTC は、特定された問題を責任を持って報告し、PTC と協力して問題に対処してくれた SEC Consult Vulnerability Lab の Matteo Tomaselli 氏に感謝します。

SEC コンサルトの勧告: https://r.sec-consult.com/ptc
最新バージョンはこちらを参照ください CS291004