Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Consumo de recursos no controlado en productos Johnson Controls

Fecha de publicación 11/12/2023
Identificador
INCIBE-2023-0546
Importancia
4 - Alta
Recursos Afectados
  • Metasys NAE55 engines: versiones anteriores a 12.0.4;
  • Metasys SNE engines: versiones anteriores a 12.0.4;
  • Metasys SNC engines: versiones anteriores a 12.0.4;
  • Facility Explorer F4-SNC: versiones anteriores a 11.0.6;
  • Facility Explorer F4-SNC: versiones anteriores a 12.0.4.
Descripción

Johnson Controls ha informado de una vulnerabilidad de severidad alta que podría permitir que un atacante provoque una denegación de servicio enviando credenciales no válidas.

Solución

Actualizar a las siguientes versiones:

  • Metasys NAE55 engines, 12.0.4.
  • Metasys SNE engines, 12.0.4.
  • Metasys SNC engines, 12.0.4.
  • Facility Explorer F4-SNC engine, 11.0.6.
  • Facility Explorer F4-SNC engine, 12.0.4.
Detalle

La vulnerabilidad detectada, de tipo consumo de recursos no controlados, podría enviar credenciales de autenticación no válidas al punto final de inicio de sesión de los productos Johnson Controls Metasys y Facility Explorer para provocar una denegación de servicio.

Se ha asignado el identificador CVE-2023-4486 para esta vulnerabilidad.