アーティクル - CS291004
ThingWorx Platform 6.5~8.2に3つのセキュリティ脆弱性が発見されました
修正日: 14-May-2026
適用対象
- ThingWorx Platform 6.5 F000 to 8.2 SP3
- Windchill Navigate (formerly ThingWorx Navigate) 1.0 to 1.6.0
- ThingWorx Manufacturing Apps Family 8.0.0 to 8.3.0
- Vuforia Studio 8.0.0 to 8.2.3
- Servigistics Connected Field Service 6.5 to 7.2.1
- ThingWorx Edge SDK 6.0 to 6.1.0
- PTC Modeler 8.4 to 8.5
- ThingWorx Kepware Server (legacy) 8.0 to 8.2
- PTC Navigate Manage Traces Lifecycle Manager Extension
- Flex PLM Tech Pack Connect App
説明
- ThingWorx Platform 6.5~8.2に3つのセキュリティ脆弱性が発見されました
- 問題の種類:
- 特権ユーザーへのパスワードハッシュの漏洩
- ハードコードされた暗号化キー
- SQUEALの検索機能における反射型XSSの脆弱性
| 問題名 | CVE番号 | CVSSスコア | CWE | サポートの詳細 |
|---|---|---|---|---|
| パスワードハッシュの漏洩 | CVE-2018-17216 | 6.6 | CWE-522:保護が不十分な認証情報 | https://sec-consult.com/vulnerability-lab/advisory/password-disclosure-vulnerability-xss-in-ptc-thingworx/ |
| ハードコードされたキー | CVE-2018-17217 | 8.8 | CWE-321:ハードコードされた暗号鍵の使用 | https://sec-consult.com/vulnerability-lab/advisory/password-disclosure-vulnerability-xss-in-ptc-thingworx/ |
| SQUEALにおける反射型XSS | CVE-2018-17218 | 6.5 | CWE-70: クロスサイトスクリプティング | https://sec-consult.com/vulnerability-lab/advisory/password-disclosure-vulnerability-xss-in-ptc-thingworx/ |
PTCは、SEC Consult Vulnerability LabのMatteo Tomaselli氏が、特定された問題を責任を持って報告し、PTCと協力して問題解決に取り組んでくれたことに感謝いたします。
SEC Consultの勧告: https://r.sec-consult.com/ptc
最新バージョンはこちらを参照ください CS291004