Vulnerabilidad en Metasys de Johnson Controls Inc.
Fecha de publicación 06/04/2022
Importancia
4 - Alta
Recursos Afectados
Metasys ADS/ADX/OAS, versiones 10 y 11.
Descripción
Tony West ha reportado esta vulnerabilidad de severidad alta a Johnson Controls Inc., publicada por el CISA, que podría permitir a un atacante, autenticado, inyectar código malicioso en la funcionalidad MUI PDF export.
Solución
- Actualizar Metasys ADS/ADX/OAS:
- versión 10 a la versión 10.1.5;
- versión 11 a la versión 11.0.2.
Detalle
Un atacante autenticado podría inyectar código malicioso en la función de exportación de PDF de MUI (MUI PDF export), lo que podría dar lugar a la falsificación de solicitudes del lado del servidor (ataque server-side request forgery). Se ha asignado el identificador CVE-2021-36202 para esta vulnerabilidad.
Listado de referencias
Etiquetas