技术文章 - CS291004

ThingWorx Platform 6.5 - 8.2 中发现三个安全漏洞

已修改: 08-Aug-2021   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • ThingWorx Platform 6.5 F000 to 8.2 SP3
  • ThingWorx Edge SDK 6.0 to 6.1.0
  • Windchill Modeler (formerly Integrity Modeler) 8.4 to 8.5
  • Servigistics Connected Field Service 6.5 to 7.2.1
  • ThingWorx Manufacturing Apps Family 8.0.0 to 8.3.0
  • ThingWorx Navigate 1.0 to 1.6.0
  • Vuforia Studio 8.0.0 to 8.2.3
  • ThingWorx Kepware Server (formerly ThingWorx Industrial Connectivity) 8.0 to 8.2
  • PTC Navigate Manage Traces Lifecycle Manager Extension
  • Flex PLM Tech Pack Connect App

说明

  • ThingWorx Platform 6.5 - 8.2 中发现三个安全漏洞
  • 问题类型:
    • 密码哈希暴露给特权用户
    • 硬编码的加密密钥
    • SQUEAL 搜索功能中的反射 XSS
问题名称CVE# CVSS 分数CWE支持详情
密码哈希暴露CVE-2018-17216 6.6 CWE-522:凭据保护不足https://support.ptc.com/view?im_dbkey=174792
硬编码密钥CVE-2018-17217 8.8 CWE-321:使用硬编码的加密密钥https://support.ptc.com/view?im_dbkey=174791
SQUEAL 中的反射 XSS CVE-2018-17218 6.5 CWE-70:跨站脚本https://support.ptc.com/view?im_dbkey=174793

PTC 感谢 SEC Consult Vulnerability Lab 的 Matteo Tomaselli 负责任地报告发现的问题并与 PTC 合作解决这些问题

SEC Consult 的咨询: https://r.sec-consult.com/ptc

这是文章 CS291004 的 PDF 版本,可能已过期。最新版本 https://www.ptc.com/cn/support/article/cs291004