Múltiples vulnerabilidades en productos Johnson Controls
- Cliente y servidor exacqVision, todas las versiones;
- exacqVision Web Service, versión 22.12.1.0.
Los investigadores Reid Wightman, de Dragos, y Diego Zaffaroni, de Nozomi Networks, han reportado al fabricante Johnson Controls 2 vulnerabilidades, de severidad crítica y alta respectivamente, cuya explotación podría permitir a un atacante descifrar comunicaciones debido a una longitud de clave y un intercambio insuficientes, así como enviar una solicitud no autorizada o acceder a datos de un dominio no fiable.
Actualizar los productos afectados (cliente y servidor exacqVision, exacqVision Web Service) a la versión 24.06.
La vulnerabilidad crítica se da en determinadas circunstancias, cuando las comunicaciones entre cliente y servidor de exacqVision emplean una longitud de clave y un intercambio insuficientes, permitiendo a un atacante descifrar dichas comunicaciones. Se ha asignado el identificador CVE-2024-32758 para esta vulnerabilidad.
La vulnerabilidad no crítica tiene asignado el identificador CVE-2024-32862.
