Article - CS291004
Trois vulnérabilités de sécurité trouvées dans la plateforme ThingWorx 6.5 - 8.2
Modifié: 14-Apr-2025
Nous vous remercions pour votre signalement. Nous allons revoir cette traduction dès que possible.
S'applique à
- ThingWorx Platform 6.5 F000 to 8.2 SP3
- Windchill Navigate (formerly ThingWorx Navigate) 1.0 to 1.6.0
- ThingWorx Manufacturing Apps Family 8.0.0 to 8.3.0
- Vuforia Studio 8.0.0 to 8.2.3
- Servigistics Connected Field Service 6.5 to 7.2.1
- ThingWorx Edge SDK 6.0 to 6.1.0
- PTC Modeler 8.4 to 8.5
- ThingWorx Kepware Server (legacy) 8.0 to 8.2
- PTC Navigate Manage Traces Lifecycle Manager Extension
- Flex PLM Tech Pack Connect App
Description
- Trois vulnérabilités de sécurité trouvées dans la plateforme ThingWorx 6.5 - 8.2
- Types de problèmes :
- Exposition du hachage du mot de passe aux utilisateurs privilégiés
- Clé de cryptage codée en dur
- XSS réfléchi dans la fonction de recherche SQUEAL
| Nom du problème | CVE # | Score CVSS | CWE | Détails de l'assistance |
|---|---|---|---|---|
| Exposition du hachage du mot de passe | CVE-2018-17216 | 6.6 | CWE-522 : Informations d'identification insuffisamment protégées | https://support.ptc.com/view?im_dbkey=174792 |
| Clé codée en dur | CVE-2018-17217 | 8.8 | CWE-321 : Utilisation d'une clé cryptographique codée en dur | https://support.ptc.com/view?im_dbkey=174791 |
| XSS réfléchi dans SQUEAL | CVE-2018-17218 | 6,5 | CWE-70 : Scripts intersites | https://support.ptc.com/view?im_dbkey=174793 |
PTC tient à remercier Matteo Tomaselli du SEC Consult Vulnerability Lab pour avoir signalé de manière responsable les problèmes identifiés et avoir travaillé avec PTC pour les résoudre.
Avis de SEC Consult : https://r.sec-consult.com/ptc
Cette version PDF de l'article 291004 peut être obsolète. Pour la dernière version CS291004