アーティクル - CS307479
Windchill / FlexPLM のリッチ テキスト エディター スペル チェック プラグインで不注意による情報漏洩の可能性
修正日: 03-Sep-2024
適用対象
- FlexPLM 11.0 F000 to 11.1 M020
- Windchill PDMLink 11.0 F000 to 11.2.0.0
- Windchill QMS 11.0 F000 to 11.2.0.0
- Windchill MPMLink 11.0 F000 to 11.2.0.0
- Pro/INTRALINK 8.x + 11.0 to 11.2
説明
CVSS: 8.9
3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:H
CWE 200: 情報露出
PTC は情報漏洩があったことを認識しておらず、またそう信じる理由もありませんが、顧客がスペル チェック機能の使用状況を自分で評価できるようにこの更新を提供しています。
3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:H
CWE 200: 情報露出
PTC は情報漏洩があったことを認識しておらず、またそう信じる理由もありませんが、顧客がスペル チェック機能の使用状況を自分で評価できるようにこの更新を提供しています。
- PTC は、Windchill および FlexPLM のすべてのお客様に、できるだけ早く Spell Check プラグインを削除するように展開を更新することを強くお勧めします。
- スペル チェック プラグインは、変更オブジェクトのコメント フィールドなど、Windchill / FlexPLM の選択テキスト フィールドで使用されます。
- サポートされているすべてのバージョンの Windchill / FlexPLM のスペル チェック プラグインを削除するパッチが利用可能です。
- 弊社の計画では、2019 年秋に同等の機能を再導入する予定です。
- Windchill 11.0 以降の Windchill / FlexPLM のお客様は、リッチ テキスト エディター スペル チェック プラグインがスペル チェック用に選択されたテキストを外部のサードパーティ Web サービスに送信することに注意する必要があります。
- つまり、PTC は、サービスのセキュリティ、サービスに送信されたデータの保持または保管、データの配布または再利用の可能性など、スペル チェック サービスに関して一切の保証または保証を行うことはできません。
- プラグインにはセキュリティ上のリスクがありますが、リスクのレベルは次の要素によって異なります。
- ユーザーがスペルチェック機能を使用するかどうか
- 顧客のユーザーがリッチテキストエディタを使用するUIページに入力した情報
- 機密情報とみなされる顧客の分類
- HTTPSではなくHTTPを使用する顧客は、サードパーティのサービスへの転送中に中間者攻撃によってデータが取得されるリスクがあります。
- スペルチェックプラグインの詳細:
- スペルチェックプラグインは、入力時にスペルチェック(SCAYT)またはフィールドの内容のオンデマンドスペルチェックのいずれかを提供できます。
- スペルチェックプラグインは、これら2つのオプションのいずれかが選択されている場合にのみ、リッチテキストフィールドからサービスにテキストデータを送信します。
- スペルチェックの一環としてCADファイルやビジネスオブジェクトが公開されたり送信されたりすることはありません。
- これらのオプションはどちらもデフォルトでは有効になっていません
- これらのオプションはどちらも「固定」ではないため、Windchill UI でページがロードされるたびに、リッチ テキスト エディターの各インスタンスごとに再度選択する必要があります。

- スペル チェック プラグインを備えたリッチ テキスト エディターは、次の UI ページとフィールドでのみ使用されます。
Product | Page | Field |
Windchill PDMLink | New / Edit Change Request | Description |
Proposed Solution | ||
New / Edit Problem Report | Description | |
New / Edit Change Notice | Description | |
New / Edit Change Task | Description | |
New / Edit Design Review | Description | |
New / Edit Variance | Description | |
Reason | ||
E-Mail Document | Additional Message Text | |
Windchill QMS | New / Edit Audit | Audit Criteria -> Reason |
Windchill MPMLink | New / Edit Standard Control Characteristics | Long Description |
FlexPLM | E-Mail Page | Message Body |
最新バージョンはこちらを参照ください CS307479