Múltiples vulnerabilidades en servidores Metasys ADS ADX OAS de Johnson Controls

Fecha de publicación 16/06/2022

Importancia

4 - Alta

Recursos Afectados

Todas las versiones de Metasys ADS/ADX/OAS 10 y 11.

Descripción

Johnson Controls informó de varias vulnerabilidades que podrían permitir que los usuarios, no autorizados, comprometan las contraseñas e inyecten código malicioso en las interfaces web.

Solución

Johnson Controls ha publicado nuevas versiones que corrigen estas vulnerabilidades:

Metasys ADS/ADX/OAS Versión 10, parche 10.1.5;
Metasys ADS/ADX/OAS Versión 11, parche 11.0.2

Detalle

Johnson Controls ha corregido varias vulnerabilidades que permitirían un cambio de contraseñas no verificado, e inyección de código malicioso por medio de Cross-site Scripting (XSS). Se han asignado los identificadores CVE‐2022‐21935, CVE‐2022‐21937 y CVE‐2022‐21938.

Listado de referencias

JCI‐PSA‐2022‐10

ICSA-22-165-01: Johnson Controls Metasys ADS ADX Servidores OAS

Etiquetas

Actualización
SCADA
Vulnerabilidad