nvd,bdu,anchore_overrides
Ptc
Уязвимости
55
Эксплуатируемые
0
Критический
20
Высокий
21
Топ продуктов
Kepware Kepserverex20Opc-aggregator14Axeda Agent13Axeda Desktop Server13Thingworx Industrial Connectivity13Thingworx Kepware Server11Thingworkx Kepware Server8Thingworx Kepware Edge6Vuforia Studio6Thingworkx Kepware Edge4Thingworx Platform4Thingworkx Industrial Connectivity3Codebeamer2Keepserverex2Kepware Server2Kepware Serverex2Thingworx Edge C-sdk2Thingworx Edge Microserver2Thingworx .net-sdk2Creo Elements/direct1
Топ уязвимостей
BDU:2024-04952Уязвимость веб-интерфейса сервера лицензий PTC Creo Elements/Direct связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2023-27881Пользователь может использовать функцию "Загрузить ресурс" для загрузки файлов в любое место на диске.
CVE-2023-0755Затронутые продукты уязвимы для неправильной проверки индекса массива, что может позволить злоумышленнику обрушить сервер и удаленно выполнить произвольный код.
CVE-2023-0754Затронутые продукты уязвимы для целочисленного переполнения или циклического переноса, что может позволить злоумышленнику обрушить сервер и удаленно выполнить произвольный код.
CVE-2022-2825Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Kepware KEPServerEX 6.11.718.0. Аутентификация не требуется для эксплуатации этой уязвимости. Конкретная ошибка заключается в обработке текстовых кодировок. Проблема возникает из-за отсутствия надлежащей проверки длины пользовательских данных перед их копированием в буфер, основанный на стеке. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. Это был ZDI-CAN-18411.
CVE-2022-25251При подключении к определенному порту агент Axeda (все версии) и Axeda Desktop Server для Windows (все версии) могут позволить злоумышленнику отправлять определенные XML-сообщения на определенный порт без надлежащей аутентификации. Успешная эксплуатация этой уязвимости может позволить удаленному неаутентифицированному злоумышленнику читать и изменять конфигурацию затронутого продукта.
CVE-2022-25247Агент Axeda (все версии) и Axeda Desktop Server для Windows (все версии) могут позволить злоумышленнику отправлять определенные команды на определенный порт без аутентификации. Успешная эксплуатация этой уязвимости может позволить удаленному неаутентифицированному злоумышленнику получить полный доступ к файловой системе и удаленное выполнение кода.
CVE-2020-27265KEPServerEX: v6.0 до v6.9, ThingWorx Kepware Server: v6.8 и v6.9, ThingWorx Industrial Connectivity: Все версии, OPC-Aggregator: Все версии, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server: v7.68.804 и v7.66, Software Toolbox TOP Server: Все версии 6.x уязвимы для переполнения буфера на основе стека. Открытие специально созданного сообщения OPC UA может позволить злоумышленнику обрушить сервер и удаленно выполнить код.
BDU:2023-09021Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX, ThingWorx Industrial Connectivity, OPC-Aggregator, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании
BDU:2022-01217Уязвимость платформы для создания и развертывания приложений корпоративного уровня PTC Axeda связана с использованием жестко закодированных учетных данных при установке UltraVNC. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над операционной системой
BDU:2022-01216Уязвимость платформы для создания и развертывания приложений корпоративного уровня PTC Axeda связана с использованием жестко закодированных учетных данных при установке UltraVNC. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над операционной системой
BDU:2022-01215Уязвимость платформы для создания и развертывания приложений корпоративного уровня PTC Axeda связана с возможностью отправки XML-сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать и изменять конфигурационные данные
CVE-2023-5908KEPServerEX уязвим для переполнения буфера, что может позволить злоумышленнику вызвать сбой продукта, к которому осуществляется доступ, или утечку информации.
CVE-2022-2848Эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код на затронутых установках Kepware KEPServerEX 6.11.718.0. Аутентификация не требуется для эксплуатации этой уязвимости. Конкретная ошибка заключается в обработке текстовых кодировок. Проблема возникает из-за отсутствия надлежащей проверки длины пользовательских данных перед их копированием в буфер, основанный на куче. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. Это был ZDI-CAN-16486.
CVE-2020-27267KEPServerEX v6.0 до v6.9, ThingWorx Kepware Server v6.8 и v6.9, ThingWorx Industrial Connectivity (все версии), OPC-Aggregator (все версии), Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server v7.68.804 и v7.66 и Software Toolbox TOP Server все версии 6.x уязвимы для переполнения буфера на основе кучи. Открытие специально созданного сообщения OPC UA может позволить злоумышленнику обрушить сервер и потенциально раскрыть данные.
CVE-2020-27263KEPServerEX: v6.0 до v6.9, ThingWorx Kepware Server: v6.8 и v6.9, ThingWorx Industrial Connectivity: Все версии, OPC-Aggregator: Все версии, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server: v7.68.804 и v7.66, Software Toolbox TOP Server: Все версии 6.x, уязвимы для переполнения буфера на основе кучи. Открытие специально созданного сообщения OPC UA может позволить злоумышленнику обрушить сервер и потенциально раскрыть данные.
BDU:2023-09019Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX, ThingWorx Industrial Connectivity, OPC-Aggregator, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2023-08541Уязвимость программного обеспечения OPC-серверов KEPServerEX, ThingWorx Kepware Server, ThingWorx Industrial Connectivity, OPC-Aggregator, ThingWorx Kepware Edge, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server, Software Toolbox TOP Server связана с возможностью переполнения буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2022-05394Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX, ThingWorkx Kepware Server, ThingWorx Industrial Connectivity, ThingWorx Kepware Edge и OPC-аггрегатора PTC OPC-Aggregator связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2022-05393Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX, ThingWorkx Kepware Server, ThingWorx Industrial Connectivity, ThingWorx Kepware Edge и OPC-аггрегатора PTC OPC-Aggregator связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
CVE-2022-25246Агент Axeda (все версии) и Axeda Desktop Server для Windows (все версии) используют жестко заданные учетные данные для своей установки UltraVNC. Успешная эксплуатация этой уязвимости может позволить удаленному аутентифицированному злоумышленнику получить полный удаленный контроль над хост-операционной системой.
BDU:2023-05962Уязвимость платформы управления жизненным циклом приложений для разработки продуктов и программного обеспечения PTC Codebeamer существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код
CVE-2023-29152Изменяя параметр имени файла в запросе, злоумышленник может удалить любой файл с разрешениями учетной записи сервера Vuforia.
CVE-2023-31200PTC Vuforia Studio не требует токена; это может позволить злоумышленнику с локальным доступом выполнить атаку с подделкой межсайтовых запросов или атаку с повторным воспроизведением.
CVE-2023-29445Обнаружена уязвимость неконтролируемого элемента пути поиска (DLL hijacking), которая может позволить локально аутентифицированному злоумышленнику повысить привилегии до SYSTEM.