アーティクル - CS291004

ThingWorxプラットフォーム6.5-8.2で見つかった3つのセキュリティの脆弱性

修正日: 08-Aug-2021   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Platform 6.5 F000 to 8.2 SP3
  • ThingWorx Edge SDK 6.0 to 6.1.0
  • Windchill Modeler (formerly Integrity Modeler) 8.4 to 8.5
  • Servigistics Connected Field Service 6.5 to 7.2.1
  • ThingWorx Manufacturing Apps Family 8.0.0 to 8.3.0
  • ThingWorx Navigate 1.0 to 1.6.0
  • Vuforia Studio 8.0.0 to 8.2.3
  • ThingWorx Kepware Server (formerly ThingWorx Industrial Connectivity) 8.0 to 8.2
  • PTC Navigate Manage Traces Lifecycle Manager Extension
  • Flex PLM Tech Pack Connect App

説明

  • ThingWorxプラットフォーム6.5-8.2で見つかった3つのセキュリティの脆弱性
  • 問題の種類:
    • 特権ユーザーへのパスワードハッシュの公開
    • ハードコードされた暗号化キー
    • SQUEAL検索機能に反映されたXSS
発行名CVE# CVSSスコアCWEサポートの詳細
パスワードハッシュの公開CVE-2018-17216 6.6 CWE-522:保護が不十分なクレデンシャルhttps://support.ptc.com/view?im_dbkey=174792
ハードコードされたキーCVE-2018-17217 8.8 CWE-321:ハードコードされた暗号化キーの使用https://support.ptc.com/view?im_dbkey=174791
SQUEALに反映されたXSS CVE-2018-17218 6.5 CWE-70:クロスサイトスクリプティングhttps://support.ptc.com/view?im_dbkey=174793

PTCは、特定された問題を責任を持って報告し、PTCと協力してそれらに対処してくれた、SEC Consult VulnerabilityLabのMatteoTomaselliに感謝します。

SECコンサルトのアドバイザリ: https://r.sec-consult.com/ptc

最新バージョンはこちらを参照ください https://www.ptc.com/ja/support/article/cs291004