Описание
An improper input validation vulnerability has been discovered that could allow an adversary to inject a UNC path via a malicious project file. This allows an adversary to capture NLTMv2 hashes and potentially crack them offline.
Ссылки
- Third Party AdvisoryUS Government Resource
- Third Party Advisory
- Vendor Advisory
- Third Party AdvisoryUS Government Resource
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 6.0.2107.0 (включая) до 6.14.263.0 (включая)
cpe:2.3:a:ptc:kepware_kepserverex:*:*:*:*:*:*:*:*
Конфигурация 2Версия от 6.8 (включая) до 6.14.263.0 (включая)
cpe:2.3:a:ptc:thingworx_kepware_server:*:*:*:*:*:*:*:*
Конфигурация 3Версия от 8.0 (включая) до 8.5 (включая)
cpe:2.3:a:ptc:thingworx_industrial_connectivity:*:*:*:*:*:*:*:*
EPSS
Процентиль: 22%
0.00071
Низкий
4.7 Medium
CVSS3
Дефекты
CWE-40
CWE-20
Связанные уязвимости
CVSS3: 4.7
github
около 2 лет назад
An improper input validation vulnerability has been discovered that could allow an adversary to inject a UNC path via a malicious project file. This allows an adversary to capture NLTMv2 hashes and potentially crack them offline.
CVSS3: 4.7
fstec
больше 2 лет назад
Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX и ThingWorkx Kepware Server, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальной информации
EPSS
Процентиль: 22%
0.00071
Низкий
4.7 Medium
CVSS3
Дефекты
CWE-40
CWE-20