[Actualización 18/07/2025] Múltiples vulnerabilidades en Johnson Controls Software House C●CURE 9000
Fecha de publicación 10/07/2024
Identificador
INCIBE-2024-0350
Importancia
4 - Alta
Recursos Afectados
- Software House C●CURE 9000, versión 2.80 y anteriores (para la vulnerabilidad CVE-2024-32759).
- Software House C●CURE 9000 Site Server, versión 3.00.3 y anteriores (para la vulnerabilidad CVE-2024-32861).
[Actualización 18/07/2025]
La vulnerabilidad CVE-2024-32861 afecta a Software House C●CURE 9000, versión 2.80 y anteriores y solo se da si C•CURE IQ Web y/o C•CURE Portal están instalados.
Descripción
Reid Wightman, investigador de Dragos, ha reportado 2 vulnerabilidades de severidad alta al fabricante, cuya explotación podría permitir a un atacante obtener accesos a nivel de administrador u obtener las credenciales de acceso a la aplicación vulnerable.
Solución
- Actualizar Software House C●CURE 9000 a la versión 2.90 para solucionar la vulnerabilidad CVE-2024-32759.
- Eliminar los permisos de escritura en la ruta C:\CouchDB\bin dentro de Software House C●CURE 9000 Site Server para los usuarios que no son administradores, mitigando así la vulnerabilidad CVE-2024-32861.
[Actualización 18/07/2025]
Para la vulnerabilidad CVE-2024-32861 seguir las siguientes acciones:
- Eliminar los permisos de Control total y Escritura
- Para las cuentas que no sean de administrador, limitar los permisos de Lectura&Ejecución de la ruta C:\CouchDB\bin
- Para conocer más medidas de mitigación, consultar el aviso de Johnson Johnson Controls Product Security Advisory JCI-PSA-2024-11 v3 en la página de avisos de Johnson.
Detalle
- Bajo ciertas condiciones, el instalador de Software House C●CURE 9000 podría utilizar credenciales débiles. Se ha asignado el identificador CVE-2024-32759 para esta vulnerabilidad.
- En determinadas circunstancias, Software House C●CURE 9000 Site Server podría proporcionar una protección insuficiente de los directorios que contienen ejecutables. Se ha asignado el identificador CVE-2024-32861 para esta vulnerabilidad.
Listado de referencias