Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de limpieza incompleta en Metasys ADS/ADX/OAS de Johnson Controls

Fecha de publicación 18/04/2022
Importancia
4 - Alta
Recursos Afectados

Servidores Metasys ADS/ADX/OAS versiones 10 y 11.

Descripción

Johnson Controls ha informado de una vulnerabilidad que podría permitir que un atacante remoto use un token de sesión que no se haya borrado al cerrar la sesión.

Solución

Actualizar los servidores Metasys ADS/ADX/OAS a las versiones 10.1.5 o 11.0.2 respectivamente.

Detalle

La vulnerabilidad encontrada en los servidores Metasys ADS/ADX/OAS se produce en determinadas circunstancias cuando el token de sesión no se borra al cerrar la sesión. Se ha asignado el identificador CVE-2021-36205 a esta vulnerabilidad.

Encuesta valoración