CVE-2024-6071

PTC Creo Elements/Direct License Server, versões 20.7.0.0 e anteriores

O PTC Creo Elements/Direct License Server expõe uma interface web que pode ser utilizada por invasores remotos não autenticados para executar comandos arbitrários do sistema operacional no servidor. Este problema está relacionado a um estouro de buffer na memória dinâmica. A exploração da vulnerabilidade pode permitir que um invasor remoto execute código arbitrário. O License Server vulnerável fornece uma interface web que pode ser usada por invasores remotos não autenticados para executar comandos arbitrários do sistema operacional no servidor. Essa vulnerabilidade pode levar a movimentos laterais em organizações industriais, e o produto é utilizado mundialmente, inclusive em setores críticos de manufatura. No entanto, a PTC observou que não há indícios e que não tem conhecimento de que essa vulnerabilidade tenha sido ou tenha sido anteriormente explorada.

Para as versões 20.7.0.0 e anteriores, atualize para a versão 20.7.0.1 ou posterior, que inclui o patch para este problema. Como solução alternativa temporária, considere restringir o acesso à interface web do servidor de licenças para minimizar o risco de exploração. Evite usar o servidor de licenças em um ambiente onde ele possa ser acessado por invasores remotos não autenticados.