CS403495 - PingIdentity 安全咨询 SECADV037：拒绝服务、信息泄露和身份验证绕过漏洞

技术文章 - CS403495

PingIdentity 安全咨询 SECADV037：拒绝服务、信息泄露和身份验证绕过漏洞

已修改: 31-Oct-2023

注意：本文已使用机器翻译软件翻译，以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意， PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在此处查看本文的英文原始版本以便参考。有关机器翻译的更多详情，请单击此处。

感谢您告诉我们。我们将尽快审阅此译文。

不，谢谢

适用于

FlexPLM

ThingWorx Platform 8.4 and higher versions
ThingWorx Navigate 1.7.0 and higher versions
Windchill ProjectLink 11.0 and higher versions
Windchill PDMLink 11.0 and higher versions
Windchill MPMLink 11.0 and higher versions
FlexPLM 11.0 and higher versions
Windchill Modeler (formerly Integrity Modeler) 9.4 and higher versions
PTC Arbortext Content Delivery (formerly Servigistics InService) 7.1.4.0 and higher versions
Vuforia Experience Service 8.5.5 and higher versions
Windchill RV&S (formerly Integrity Lifecycle Manager) 12.1 and higher versions

说明

请注意，PingIdentity 发起了一个与 PingFederate 相关的安全公告。这是 PingIdentity 报告的客户信息安全问题
Ping Identity 已确认 PingFederate 中的三个漏洞：
- CVE-2023-37283：通过 HTML 表单和标识符第一个适配器绕过身份验证
  - 在非常具体且强烈不推荐的配置下，PingFederate Identifier First Adapter 中可能会绕过身份验证
- CVE-2023-39219：管理控制台通过 Java 类枚举拒绝服务
  - PingFederate 管理控制台依赖项中存在漏洞，可能会通过使用 java 类枚举请求轰炸来导致管理控制台崩溃
- CVE-2023-34085：通过 DynamoDB 数据存储泄露用户属性
  - 当 DynamoDB 表用于用户属性存储时，可以通过恶意制作的请求检索另一个用户的属性

有关详细信息，请参阅此Ping Identity 安全咨询文章
- 注意：需要登录 PingIdentity 才能查看安全通报文章并下载相关补丁。如果尚不存在，客户将必须创建一个登录名

这是文章 403495 的 PDF 版本，可能已过期。最新版本 CS403495

知识库访问

请登录，登录后您将可以：

阅读本文的全部内容
发现与此主题相关的内容
搜索我们所有的内容源（知识库、帮助中心、社区主题...）

Sign In