脆弱性の重要情報 脆弱性説明 CVE番号: CVE-2024-40395 脆弱性タイプ: 認証済みインセキュア・ダイレクト・オブジェクト・リファレンス(IDOR) 影響を受けるエンドポイント: - POST /Thingworx/Things/PostgreSQLNew/Services/VehicleProfile_NewV5 - POST /Thingworx/Things/PostgreSQL/Services/Driver_Pages_New_V3 - POST /Thingworx/Things/UsersThing/Services/GetUsersByOrganizationMultiQ 影響 影響: 情報漏洩 アタックベクター アタックベクター: 資格情報の改ざん 発見者 発見者: Abdulazeiz Rashed Aldhanhani 修正提案 修正提案: 影響を受けるバージョンの代わりに PTC ThingWorx v9.5.0 を使用する。 その他情報 脆弱性タイプ: 認証済みインセキュア・ダイレクト・オブジェクト・リファレンス(IDOR) 影響を受けるバージョン: PTC ThingWorx - Thingworx Platform version 9.5.0 その他情報 説明: この脆弱性により、攻撃者は HTTP リクエスト内の組織名パラメータを改ざんすることで、機密情報を取得できる。 発見者: Abdulazeiz Rashed Aldhanhani 影響を受けるエンドポイント: 3つのPOSTリクエストエンドポイント 影響: 情報漏洩 アタックベクター: 資格情報の改ざん 修正提案: 影響を受けるバージョンの代わりに PTC ThingWorx v9.5.0 を使用する。