关键信息 漏洞名称: FactoryTalk® Service Platform Service Token Vulnerability 严重性: Critical CVE ID: CVE-2024-21917 Advisory ID: SD1660 发布日期: January 30, 2024 最后更新: December 04, 2024 修订号: 1.0 已知被利用的漏洞 (KEV): No 是否修复: Yes 是否提供临时解决方案: No CVSS 评分: 9.8/10 受影响的产品 安全问题详情 漏洞影响: CVE-2024-21917 漏洞描述: 存在一个安全问题,导致恶意用户可以获取服务令牌并用于在另一个 FTSP 目录上进行身份验证。这是由于 FTSP 服务令牌和目录之间缺乏数字签名。 CVSS 基本评分: 9.8/10 CVSS 矢量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE: 347 不正确的加密签名验证 KEV 数据库: No 缓解措施和临时解决方案 升级到 FactoryTalk® Service Platform v6.40 或更高版本。 设置 FactoryTalk Directory 的 System Communication Type 安全策略为 SOCKET.IO。 核实发布者信息以防止未经授权的 API 调用。