PTC Kepware KepServerEX/ThingWorx Kepware Server bis 6.14.263.0 Project File erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine als problematisch eingestufte Schwachstelle wurde in PTC Kepware KepServerEX and ThingWorx Kepware Server bis 6.14.263.0 festgestellt. Es betrifft eine unbekannte Funktion der Komponente Project File Handler. Durch Beeinflussen mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2023-29446 geführt. Der Angriff erfordert einen lokalen Zugriff. Es ist soweit kein Exploit verfügbar.
Details
Eine Schwachstelle wurde in PTC Kepware KepServerEX sowie ThingWorx Kepware Server bis 6.14.263.0 ausgemacht. Sie wurde als problematisch eingestuft. Hierbei geht es um ein unbekannter Ablauf der Komponente Project File Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-20. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt. Die Zusammenfassung von CVE lautet:
An improper input validation vulnerability has been discovered that could allow an adversary to inject a UNC path via a malicious project file. This allows an adversary to capture NLTMv2 hashes and potentially crack them offline.Die Schwachstelle wurde am 31.08.2023 als icsa-23-243-03 herausgegeben. Das Advisory findet sich auf cisa.gov. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2023-29446 gehandelt. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.9VulDB Meta Temp Score: 3.9
VulDB Base Score: 2.2
VulDB Temp Score: 2.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 4.7
NVD Vector: 🔍
CNA Base Score: 4.7
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
06.04.2023 🔍31.08.2023 🔍
31.08.2023 🔍
22.04.2025 🔍
Quellen
Advisory: icsa-23-243-03Status: Bestätigt
CVE: CVE-2023-29446 (🔍)
GCVE (CVE): GCVE-0-2023-29446
GCVE (VulDB): GCVE-100-238499
Eintrag
Erstellt: 31.08.2023 19:58Aktualisierung: 22.04.2025 13:48
Anpassungen: 31.08.2023 19:58 (36), 27.09.2023 18:19 (1), 09.10.2024 16:10 (37), 22.04.2025 13:48 (3)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.