Múltiples vulnerabilidades en varios productos de Johnson Controls

Fecha de publicación 08/10/2021
Importancia
5 - Crítica
Recursos Afectados
  • exacqVision Web Service, versión 21.06.11.0 y anteriores; y
  • exacqVision Server 32-bit, versión 21.06.11.0 y anteriores.
Descripción

Tenable Research ha reportado a Johnson Controls una vulnerabilidad de severidad crítica y otra de severidad alta que podrían permitir a un atacante remoto acceder a credenciales o causar una condición de denegación de servicio.

Solución

Actualizar:

  • exacqVision Web Service a su versión 21.09, y
  • exacqVision Server 32-bit a su versión 21.09 o a exacqVision Server 64-bit.
Detalle
  • El software de exacqVision Web Service no asigna, modifica, monitoriza o comprueba los privilegios de forma correcta, lo que podría permitir a un atacante, remoto y no autenticado, acceder a credenciales almacenadas. Se ha asignado el identificador CVE-2021-27664 para esta vulnerabilidad crítica.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-27665.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-280-01) Johnson Controls exacqVision Server Bundle
ICS Advisory (ICSA-21-280-03) Johnson Controls exacqVision
Product Security Advisory JCI‐PSA‐2021‐16
Product Security Advisory JCI‐PSA‐2021‐18
Etiquetas