Ejecución SQL remota en productos de Johnson Controls
Fecha de publicación 29/01/2026
Identificador
INCIBE-2026-064
Importancia
5 - Crítica
Recursos Afectados
- Servidor de aplicaciones y datos (ADS) instalado con SQL Express implementado como parte de la instalación de Metasys en las versiones anteriores de 14.1, incluida.
- Servidor de aplicaciones y datos ampliado (ADX) instalado con SQL Express implementado como parte de la instalación de Metasys en la versión 14.1.
- LCS8500 o NAE8500 instalado con SQL Express implementado como parte de la instalación de Metasys versiones desde la versión 12.0 hasta 14.1.
- Herramienta de configuración del sistema (SCT) instalada con SQL Express implementado como parte de la instalación de SCT en las versiones anteriores a 17.1, incluida.
- Herramienta de configuración del controlador (CCT) instalada con SQL Express implementado como parte de la instalación de CCT en las versiones anteriores a 17.0, incluida.
Descripción
Johnson Controls ha reportado sobre 1 vulnerabilidad crítica que, en caso de ser explotada podría permitir a un atacante poder ejecutar comandos SQL de forma remota y como consecuencia, alterar o borrar datos.
Solución
El fabricante Johnson Controls recomienda descargar y ejecutar el parche de Metasys para GIV-165989 para los productos afectados.
Como medidas de mitigación, se recomienda cerrar el puerto TCP entrante 1433.
Detalle
CVE-2026-21654: neutralización incorrecta de elementos especiales utilizados en un comando que, en determinadas circunstancias, una explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar comandos SQL de forma remota lo que puede dar cabida a la alteración o pérdida de datos.
CVE
