Múltiples vulnerabilidades en exacqVision de Johnson Controls
Fecha de publicación
30/06/2021
Importancia
3 - Media
Recursos Afectados
- exacqVision Web Service, versión 21.03 y anteriores;
- exacqVision Enterprise Manager, versión 20.12 y anteriores.
Descripción
Milan Kyselica y Roman Stevanak han reportado 2 vulnerabilidades a Johnson Controls, ambas de severidad media, que podrían permitir a un atacante enviar peticiones maliciosas suplantando a la víctima.
Solución
Actualizar a:
- exacqVision Web Service, versión 21.06;
- exacqVision Enterprise Manager, versión 21.03.
Detalle
El software no valida, filtra, sanea y/o codifica suficientemente la entrada controlada por el usuario antes de colocarla en la salida utilizada como página web, que se muestra a otros usuarios, lo que podría permitir a un atacante enviar peticiones maliciosas en nombre de la víctima a través de un XSS (Cross-site Scripting). Se han asignado los identificadores CVE-2021-27659 y CVE-2021-27658 para estas vulnerabilidades.
Listado de referencias
Etiquetas