Vuforia Studio 中发现的安全漏洞
适用于
- Vuforia Studio 1.0 to 9.8.0
说明
明文网页登录基本Auth
CVSS 3.1 分数: 3.7(低)
CVSS 3.1 矢量字符串: /AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
CWE: CWE-522:凭证保护不足
常见漏洞和暴露: CVE-2023-29168
研究员归因:洛克希德马丁公司 - 红队
忽略 HTTP 授权标头和会话 cookie
CVSS 3.1 分数: 1.8(低)
CVSS 3.1 矢量字符串: /AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N
CWE: CWE-285:不当授权
常见漏洞和暴露:CVE-2023-24476
研究员归属:洛克希德马丁公司 - 红队
任意文件上传
CVSS 3.1 分数: 8.0(高)
CVSS 3.1 矢量字符串: /AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
CWE: CWE-434:无限制上传危险类型的文件
常见漏洞和暴露: CVE-2023-27881
研究员归属:洛克希德马丁公司 - 红队
任意文件删除
CVSS 3.1 分数: 6.2(中等)
CVSS 3.1 矢量字符串: /AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:N/A:H
CWE: CWE-285:不当授权
常见漏洞和暴露: CVE-2023-29152
研究员归因:洛克希德马丁公司 - 红队
可修改的资源主管
CVSS 3.1 分数: 6.2(中等)
CVSS 3.1 矢量字符串: /AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:N
CWE: CWE-22:路径名对受限目录的不当限制(“路径遍历”)。
常见漏洞和暴露: CVE-2023-29502
研究员归因:洛克希德马丁公司 - 红队
没有 CSRF 令牌
CVSS 3.1 分数: 5.7(中等)
CVSS 3.1 矢量字符串: /AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
CWE: CWE-352:跨站请求伪造(CSRF)
常见漏洞和暴露: CVE-2023-31200
研究员归因:洛克希德马丁公司 - 红队
请注意,PTC 没有任何迹象表明也没有被告知这些漏洞中的任何一个已经或正在被利用