1. Home
  2. Supporto
Soluzione # - CS363561

Vulnerabilità di sicurezza identificate nell'agente Axeda e nel server desktop Axeda

Modifica: 03-Apr-2025   


Nota: Questo articolo è stato tradotto per la sua comodità utilizzando un software di traduzione automatica. PTC non garantisce l'affidabilità o la leggibilità dei contenuti di questa traduzione. Clicca qui per vedere la versione originale di questo articolo in inglese. Per ulteriori informazioni sulla traduzione automatica, clicca qui.
Grazie per averci informato. Esamineremo questa traduzione il prima possibile.

Si applica a

  • Axeda - Connectivity 6.9.4
  • All versions of Axeda agent
  • All versions of Axeda Desktop Server for Windows 

Descrizione

Avviso CISA ICS (ICSA-22-067-01)
https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-01
  • AxedaDesktopServer.exe
    • CVE-2022-25246
      • Descrizione CVE: il prodotto interessato utilizza credenziali hard-coded per la sua installazione UltraVNC. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto autenticato di assumere il controllo remoto completo del sistema operativo host
      • CWE-798: Utilizzo di credenziali hard-coded
      • Punteggio CVSS 3.1: 9,8 (critico)
      • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • CVE-2022-25250
      • Descrizione CVE: Quando ci si connette a una determinata porta, l'agente Axeda (tutte le versioni) e Axeda Desktop Server per Windows (tutte le versioni) potrebbero consentire a un aggressore di inviare un determinato comando a una porta specifica senza autenticazione. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto non autenticato di arrestare un servizio specifico
      • Punteggio CVSS 3.1: 7,5 (alto)
      • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Server remoto
    • Accesso al sistema
      • CVE-2022-25247
      • Descrizione CVE: il prodotto interessato potrebbe consentire a un aggressore di inviare determinati comandi a una porta specifica senza autenticazione. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto non autenticato di ottenere l'accesso completo al file system e l'esecuzione di codice remoto.
      • CWE-306: Autenticazione mancante per la funzione critica
      • Punteggio CVSS 3.1: 9,8 (critico)
      • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Registro testo evento
      • CVE-2022-25248
      • Descrizione CVE: quando si connette a una determinata porta, il prodotto interessato fornisce il registro eventi del servizio specifico.
      • CWE-200: Esposizione di informazioni sensibili a un attore non autorizzato
      • Punteggio CVSS 3.1: 5.3 (Medio)
      • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
  • xGate ed EKernel
    • Directory Traversal (non si applica all'agente Axeda 6.9.2 e 6.9.3)
      • CVE-2022-25249
      • Descrizione CVE: il prodotto interessato (esclusi gli agenti Axeda v6.9.2 e v6.9.3) è vulnerabile al directory traversal, che potrebbe consentire a un aggressore remoto non autenticato di ottenere l'accesso in lettura al file system tramite server web.
      • CWE-22: Limitazione impropria di un nome di percorso a una directory con restrizioni ('Path Traversal')
      • Punteggio CVSS 3.1: 7,5 (alto)
      • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Arresto di xGate ed EKernel
      • CVE-2022-25250
      • Descrizione CVE: il prodotto interessato potrebbe consentire a un aggressore di inviare un determinato comando a una porta specifica senza autenticazione. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto non autenticato di arrestare un servizio specifico .
      • CWE-306: Autenticazione mancante per la funzione critica
      • Punteggio CVSS 3.1: 7,5 (alto)
      • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Leggere e modificare la configurazione dell'agente
      • CVE-2022-25251
      • Descrizione CVE: il prodotto interessato potrebbe consentire a un aggressore di inviare determinati messaggi XML a una porta specifica senza un'autenticazione appropriata. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto non autenticato di leggere e modificare la configurazione del prodotto interessato.
      • CWE-306: Autenticazione mancante per la funzione critica
      • Punteggio CVSS 3.1: 9,8 (critico)
      • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Modulo libreria - xBase39
    • CVE-2022-25252
    • Descrizione CVE: il prodotto interessato quando riceve un certo input genera un'eccezione. I servizi che utilizzano tale funzione non gestiscono l'eccezione. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto non autenticato di bloccare il prodotto interessato.
    • CWE-703: Controllo o gestione impropri di condizioni eccezionali
    • Punteggio CVSS 3.1: 7,5 (alto)
    • Stringa vettoriale CVSS 3.1: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • Si noti che PTC non ha alcuna indicazione né è a conoscenza del fatto che una di queste vulnerabilità sia stata o sia in fase di sfruttamento.
This is a PDF version of Article 363561 and may be out of date. For the latest version CS363561