Ausencia de autenticación en función crítica en productos Johnson Controls Metasys

Fecha de publicación 22/07/2022

Identificador

INCIBE-2022-0847

Importancia

3 - Media

Recursos Afectados

Johnson Controls Metasys ADS, ADX, OAS, con MUI, versiones 10 y 11.

Descripción

Alessandro Bosco, Luca Di Giuseppe, Stefano Scipioni y Massimiliano Brolli, de TIM Security Red Team Research, han reportado estas vulnerabilidades a Johnson Controls, Inc., que podrían permitir a un atacante, no autenticado, acceder a la API web de Metasys y enumerar usuarios.

Solución

Actualizar Metasys ADS, ADX, OAS a las versiones 10.1.6 o 11.0.2.

Detalle

Bajo ciertas circunstancias, un atacante no autenticado podría acceder a la API web de Metasys ADS/ADX/OAS y enumerar usuarios. Se ha asignado el identificador CVE-2021-36200 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-22-202-02) Johnson Controls Metasys ADS, ADX, OAS

jci-psa-2022-04

Etiquetas

Actualización
Vulnerabilidad