Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

DLL Hijacking en CEM AC2000 de Johnson Controls

Fecha de publicación 06/05/2026
Identificador
INCIBE-2026-325
Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de Johnson Controls CEM AC200:

  • Johnson Controls Inc. CEM AC2000 12.0;
  • Johnson Controls Inc. CEM AC2000 11.0;
  • Johnson Controls Inc. CEM AC2000 10.6.
Descripción

Tom Hulme ha informado sobre una vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante con usuario estándar escalar privilegios en la máquina host y ejecutar código arbitrario.

Solución

Johnson Controls recomienda actualizar a las siguientes versiones:

  • CEM 2000 12.0 a la versión 12.0 Release 10;
  • CEM 2000 11.0 a la versión 11.0 Release 9;
  • CEM 2000 10.6 a la versión 10.6 Release 3.
Detalle

CVE-2026-21661: el producto afectado es vulnerable a DLL Hijacking, que podría permitir a un atacante con usuario estándar escalar privilegios en la máquina host y ejecutar código arbitrario.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-21661 Alta No Johnson Controls
Listado de referencias
Johnson Controls CEM AC2000 | CISA
Etiquetas