Vulnerabilidad en VideoEdge de Johnson Controls
VideoEdge, versiones anteriores a 5.7.0.
Johnson Controls ha reportado una vulnerabilidad, de severidad alta, detectada en la aplicación sudo de Linux, que afecta a VideoEdge de Sensormatic Electronics, una subsidiaria de Johnson Controls.
Johnson Controls recomienda actualizar a la última versión de VideoEdge (actualmente 5.7.0). Si esto no es posible, hay un parche sudo disponible en la web de American Dynamics para VideoEdge 5.4.2 y 5.6.0. VideoEdge 5.4.1 y anteriores no pueden ser parcheados y deben ser actualizados.
VideoEdge calcula o utiliza un valor máximo o mínimo incorrecto que es uno más, o uno menos, que el valor correcto. Bajo circunstancias específicas, un atacante local puede ser capaz de explotar esta vulnerabilidad para obtener acceso administrativo. Se ha asignado el identificador CVE-2021-3156 para esta vulnerabilidad.
