CWE 321: ハードコード暗号化キー
の使用 ハードコード暗号化キーの脆弱性は、特権のエスカレーションにつながる可能性があります。 FactoryTalk System Servicesは、ハードコードされた暗号化キーを使用して、管理者Cookieを生成します。 この脆弱性により、ローカル認証された管理者以外のユーザが、FactoryTalk Policy Mangerデータベースへの管理者権限を付与する無効な管理者Cookieを生成できる可能性があります。 正規のFactoryTalk Policy Managerユーザがセキュリティポリシーモデルをデプロイすると、攻撃者はデータベースに悪意ある変更を加えてデプロイする可能性があります。 この脆弱性を正常に悪用するには、ユーザーとのやり取りが必要です。
Team82 は、世界中のサイバーセキュリティエコシステムの安全性を確保するために、影響を受けるベンダーに、調整されたタイムリーな方法で脆弱性を個人的に報告することにコミットしています。 ベンダーおよび研究コミュニティと関わりを持つために、 Team82 は、当社の協調的開示ポリシーをダウンロードして共有するようお客様にお願いしています。Team82 は、製品およびサービスの脆弱性を発見した場合、この報告および開示プロセスに従います。
