1. ホーム
  2. サポート
アーティクル - CS378518

一部のマッシュアップを保存すると、ThingWorx Platform 9.3.4 の Apache Tomcat に JSP Expression Language Injection の脆弱性が発生する可能性があります。

修正日: 12-Mar-2024   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Platform 9.3 SP4

説明

  • ThingWorx Platform 9.3.4 にアップグレードされ、ユーザーがマッシュアップを保存するとデフォルトの F5 ロード バランサ ルールがアラートをスローするようになりました。
  • ThingWorx プラットフォームのアップグレード後に、ThingWorx に JSP 式言語の式インジェクションが脆弱であると思われる
  • 侵入防御システム (IPS) が ThingWorx Platform リクエストによる JSP 式言語の式インジェクションを検出しています
  • テキスト領域などの入力ウィジェットを含むマッシュアップを保存すると、組織の IPS によって JSP インジェクション アラートがトリガーされます
  • Network Appliance は、JSP 式言語の式インジェクションに対して脆弱である受信 ThingWorx PUT リクエストに関するアラートを表示します
  • ユーザー トラフィックは F5 ロード バランサーを通過し、ThingWorx Platform のアップグレード後にアラートがトリガーされるようになりました
  • ユーザーがマッシュアップを保存すると、F5 ロード バランサーが JSP 式インジェクション アラートをスローします
  • アップグレード前は、ThingWorx Platform が機能するために F5 ロード バランサーの例外は必要ありませんでしたが、現在は必要です。
  • F5 ロード バランサーが TWX コードをブロックしている
  • ThingWorx Platform 9.3.4 は、さまざまな JSP インジェクション攻撃シグネチャで F5 をトリップさせます
  • ThingWorx Platform 9.3.4 へのアップグレード後にユーザーがマッシュアップを保存すると、F5 ロード バランサで「JSP Expression Language Expression Injection」アラートがトリガーされる
最新バージョンはこちらを参照ください CS378518