Vulnerabilidad en Metasys de Johnson Controls (CVE-2025-26385)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

30/01/2026

Última modificación:

15/04/2026

Descripción

El componente Metasys de Johnson Controls que se enumera a continuación tiene una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando (inyección de comandos). La explotación exitosa de esta vulnerabilidad podría permitir la ejecución remota de SQL. Este problema afecta a * Metasys: Servidor de Aplicaciones y Datos (ADS) instalado con SQL Express implementado como parte de la instalación de Metasys 14.1 y anteriores, * Servidor de Aplicaciones y Datos Extendido (ADX) instalado con SQL Express implementado como parte de la instalación de Metasys 14.1, * LCS8500 o NAE8500 instalado con SQL Express implementado como parte de la instalación de Metasys Versiones 12.0 a 14.1, * Herramienta de Configuración del Sistema (SCT) instalado con SQL Express implementado como parte de la instalación de SCT 17.1 y anteriores, * Herramienta de Configuración del Controlador (CCT) instalado con SQL Express implementado como parte de la instalación de CCT 17.0 y anteriores.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.50 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.50

Gravedad 4.0

CRÍTICA

Vulnerabilidad en Metasys de Johnson Controls (CVE-2025-26385)

Descripción

Impacto

Referencias a soluciones, herramientas e información