アーティクル - CS332773
ThingWorx 9.1 以前の承認モデルの欠陥によるセキュリティへの影響
修正日: 16-Jan-2023
適用対象
- ThingWorx Platform 8.4 to 9.1
- and earlier versions
説明
- ThingWorx アクセス許可モデルのセキュリティと機能を分析および改善するための継続的な取り組みの一環として、PTC は ThingWorx Foundation アクセス許可が 9.2.0 より前のバージョンに格納される方法にアーキテクチャ上の欠陥があることを特定しました。
- 以前のユーザーとまったく同じ名前で新しいユーザーを作成すると、新しいユーザーは古いユーザーのすべての権限を引き継ぎます。
- ユーザー アカウントを削除し、まったく同じ名前 (ただし、実際の人物は異なる) で新しいアカウントを作成すると、新しいユーザーは前のユーザーの権限を継承します。
- この特定の問題により、ユーザーが管理者によって削除される可能性があり、その後、同じ名前のユーザーが再作成された場合、この新しいユーザーは古いユーザーの権限を引き継ぎます。
- これがセキュリティの脆弱性を表す可能性のある状況は比較的少数ですが、PTC はこれを解決するために ThingWorx のアクセス許可スキームを再構築しました。
最新バージョンはこちらを参照ください CS332773