技术文章 - CS405439
PTC Kepware 产品中发现的安全漏洞 - 2023 年 11 月
已修改: 07-Nov-2024
适用于
- Kepware Server (formerly KEPServerEX) 6.0.2107.0 to 6.14
- ThingWorx Kepware Server (legacy) 8.0 to 6.14
- TOP Server 6.0.2107.0 to 6.14
- KEPServerEnterprise 5.19.476.0 to 6.14
- ThingWorx Kepware Edge (legacy) 1.1 to 1.7
- GE Industrial Gateway Server 7.521 to 7.614
- ThingWorx Industrial Connectivity 8.0 to 8.5
- OPC Aggregator 6.2 to 6.14
说明
- CVSS 3.1 评分:9.1 严重
- CVSS 3.1 矢量字符串:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
- CWE :基于堆的缓冲区溢出 CWE-122
- KEPServerEX 存在缓冲区溢出漏洞,可能允许攻击者破坏正在访问的产品或泄露信息
- 常见漏洞和暴露:CVE-2023-5908 已分配给此漏洞
- 研究人员归因:研究人员 Shawn Hoffman 向 PTC 报告了这些漏洞
- CVSS 3.1 评分:7.5 高
- CVSS 3.1 矢量字符串:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
- CWE:证书验证不正确,主机不匹配 CWE-297
- KEPServerEX 未正确验证客户端的证书,这可能允许未经身份验证的用户进行连接
- 常见漏洞和暴露:CVE-2023-5909 已分配给此漏洞
- 研究人员归因:研究人员 Shawn Hoffman 向 PTC 报告了这些漏洞
- 请注意,PTC 没有迹象表明或意识到这些漏洞已被利用或正在被利用
这是文章 405439 的 PDF 版本,可能已过期。最新版本 CS405439