Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Fallo de autenticación en Metasys ADX Server de Johnson Controls

Fecha de publicación 06/10/2022
Identificador

INCIBE-2022-0950

Importancia
4 - Alta
Recursos Afectados

Metasys ADX Server, versión 12.0 ejecutando MVE (Metasys for Validated Environments).

Descripción

El fabricante ha reportado una vulnerabilidad de severidad alta que podría permitir a un usuario de Active Directory ejecutar acciones validadas sin proporcionar una contraseña válida.

Solución

Johnson Controls recomienda a los usuarios que actualicen la versión 12.0 de Metasys ADX Server con el parche 12.0.1.

Detalle

El software del producto afectado no prueba, o valida insuficientemente, los intentos de login del usuario. Se ha asignado el identificador CVE-2022-21936 para esta vulnerabilidad.

Encuesta valoración