1. 主页
  2. 支持
技术文章 - CS291004

ThingWorx平台6.5-8.2版本中发现三个安全漏洞

已修改: 14-May-2026   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • ThingWorx Platform 6.5 F000 to 8.2 SP3
  • Windchill Navigate (formerly ThingWorx Navigate) 1.0 to 1.6.0
  • ThingWorx Manufacturing Apps Family 8.0.0 to 8.3.0
  • Vuforia Studio 8.0.0 to 8.2.3
  • Servigistics Connected Field Service 6.5 to 7.2.1
  • ThingWorx Edge SDK 6.0 to 6.1.0
  • PTC Modeler 8.4 to 8.5
  • ThingWorx Kepware Server (legacy) 8.0 to 8.2
  • PTC Navigate Manage Traces Lifecycle Manager Extension
  • Flex PLM Tech Pack Connect App

说明

  • ThingWorx平台6.5-8.2版本中发现三个安全漏洞
  • 问题类型:
    • 密码哈希值暴露给特权用户
    • 硬编码加密密钥
    • SQUEAL 搜索函数中的反射型 XSS 漏洞

问题名称CVE # CVSS评分CWE支持详情
密码哈希泄露CVE-2018-17216 6.6 CWE-522:凭证保护不足https://sec-consult.com/vulnerability-lab/advisory/password-disclosure-vulnerability-xss-in-ptc-thingworx/
硬编码密钥CVE-2018-17217 8.8 CWE-321:使用硬编码加密密钥https://sec-consult.com/vulnerability-lab/advisory/password-disclosure-vulnerability-xss-in-ptc-thingworx/
SQUEAL 中的反射型 XSS CVE-2018-17218 6.5 CWE-70:跨站脚本攻击https://sec-consult.com/vulnerability-lab/advisory/password-disclosure-vulnerability-xss-in-ptc-thingworx/

PTC衷心感谢美国证券交易委员会咨询漏洞实验室的Matteo Tomaselli,感谢他负责任地报告了已发现的问题,并与PTC合作解决这些问题。

SEC Consult 的咨询: https://r.sec-consult.com/ptc
这是文章 291004 的 PDF 版本,可能已过期。最新版本 CS291004