Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Credenciales en texto plano en productos de Johnson Controls

Fecha de publicación 13/01/2023
Identificador

INCIBE-2023-0015

Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de los servidores Metasys ADS/ADX/OAS de Johnson Controls están afectadas:

  • Versión 10.X: todas las versiones anteriores a la versión 10.1.6;
  • Versión 11.X: todas las versiones anteriores a la versión 11.1.3.
Descripción

Johnson Controls, Inc. ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante no autorizado obtener las credenciales en plano.

Solución

Johnson Controls recomienda a los usuarios actualizar los productos afectados a las siguientes versiones:

  • Metasys ADS/ADX/OAS Versión 10.X: actualizar a la versión 10.1.6;
  • Metasys ADS/ADX/OAS Versión 11.X: actualizar a la versión 11.0.3.
Detalle

Los servidores Metasys ADS/ADX/OAS de Johnson Controls, podrían exponer credenciales en texto plano mediante llamadas a la interfaz programable de aplicaciones (API). Se ha asignado el identificador CVE-2021-36204 para esta vulnerabilidad.

Encuesta valoración