Inyección de comandos en el Sistema Operativo en productos de Johnson Controls
Fecha de publicación 12/12/2025
Identificador
INCIBE-2025-0708
Importancia
4 - Alta
Recursos Afectados
Las siguientes versiones de iSTAR Ultra e iSTAR Edge:
- iSTAR Ultra, versiones anteriores a la 6.9.7.CU01;
- iSTAR Ultra SE, versiones anteriores a la 6.9.7.CU01;
- iSTAR Ultra LT, versiones anteriores a la 6.9.7.CU01;
- iSTAR Ultra G2, versiones anteriores a la 6.9.3;
- iSTAR Ultra G2 SE, versiones anteriores a la 6.9.3;
- iSTAR Edge G2, versiones anteriores a la 6.9.3.
Descripción
CISA ha informado de 4 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante alterar el firmware y/o acceder al dispositivo.
Solución
- Actualizar a la versión 6.9.7.CU01 o superior los siguientes productos:
- iSTAR Ultra;
- iSTAR Ultra SE;
- iStar Ultra LT.
- Actualizar a la versión 6.9.3 o superior los siguientes productos:
- iSTAR Ultra G2;
- iSTAR Ultra G2 SE;
- iSTAR Edge G2.
Detalle
CVE-2025-43873 y CVE-2025-43874: bajo ciertas circunstancias los productos pueden permitir una inyección de comandos en el SO (OS Command Injection) que puede hacer que un atacante tome el control total del dispositivo.
CVE-2025-43875 y CVE-2025-43876: bajo ciertas circunstancias, que se explote esta vulnerabilidad con éxito, puede permitir el acceso no autorizado al dispositivo.
CVE
Listado de referencias
