公開日:2023/02/27 最終更新日:2023/02/27

JVNVU#92776796
PTC製ThingWorx Edge C-SDKにおける複数の脆弱性

概要

PTC社が提供するThingWorx Edge C-SDKには、複数の脆弱性が存在します。

影響を受けるシステム

  • ThingWorx Kepware Edge 1.0から1.5までのバージョン
  • ThingWorx C-SDK 2.2.12.1052およびそれ以前のバージョン
  • ThingWorx Edge MicroServer (EMS) 5.4.10.0およびそれ以前のバージョン
  • ThingWorx .NET-SDK 5.8.4.971およびそれ以前のバージョン
  • ThingWorx Kepware Server (以前のThingWorx Industrial Connectivity) 6.12およびそれ以前のバージョン
  • Kepware KEPServerEX 6.0から6.12までのバージョン
  • Rockwell Automation KEPServer Enterprise 6.10から6.12までのバージョン
  • GE Digital Industrial Gateway Server 7.62から7.612までのバージョン

詳細情報

PTC社が提供するThingWorx Edge C-SDKには、次の複数の脆弱性が存在します。

  • 配列インデックスに対する不適切な検証 (CWE-129) - CVE-2023-0755
  • 整数オーバーフローまたはラップアラウンド (CWE-190) - CVE-2023-0754

想定される影響

両脆弱性共に悪用された場合、次のような影響を受ける可能性があります

  • 遠隔の第三者によって、任意のコードを実行される

対策方法

アップデートする
開発者は、アップデートを提供しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
PTC CS385715 Security vulnerabilities identified in ThingWorx Edge C-SDK 2.2.12.1052 or lower(要ログイン)

参考情報

  1. ICS Advisory | ICSA-23-054-01
    PTC ThingWorx Edge

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia