Múltiples vulnerabilidades en Facility Explorer de Johnson Controls
Fecha de publicación 23/01/2019
Importancia
5 - Crítica
Recursos Afectados
- Facility Explorer versiones 14.X anteriores a la versión 14.4u1
- Facility Explorer versiones 6.X anteriores a la 6.6
Descripción
Tridium identificó múltiples vulnerabilidades que afectan a los productos de automatización Facility Explorer de Johnson Controls. Un atacante podría acceder al sistema aprovechando una gestión incorrecta de las contraseñas y obtener acceso a los ficheros para su lectura, modificación, eliminación e incluso obtener permisos de administrador.
Solución
Johnson Controls ha mitigado estas vulnerabilidades en versiones posteriores del producto. Los usuarios deben actualizar sus versiones a una segura, se recomienda la versión (FX14.6).
- Facility Explorer 14.6 (Fecha de lanzamiento septiembre 2018).
- Facility Explorer 14.4u1 (Fecha de lanzamiento agosto 2018).
- Facility Explorer 6.6 (Fecha de lanzamiento agosto 2018).
Detalle
- Un atacante con acceso al sistema Facility Explorer y permisos de administrador, podría realizar una vulnerabilidad del tipo de salto de directorio (‘path traversal’), para acceder a ficheros sin permisos o directorios restringidos. Se ha asignado el identificador CVE-2017-16744 para esta vulnerabilidad.
- Un fallo en las cuentas de usuario deshabilitadas con el campo contraseña en blanco, podría permitir a un atacante acceder al sistema con permisos de administrador. Se ha asignado el identificador CVE-2017-16748 para esta vulnerabilidad.
Listado de referencias
Etiquetas