Múltiples vulnerabilidades en productos de Johnson Controls
Fecha de publicación 11/03/2020
Importancia
5 - Crítica
Recursos Afectados
- Kantech EntraPass Corporate Edition, versión 8.10 y anteriores;
- Kantech EntraPass Global Edition, versión 8.10 y anteriores;
- Metasys Application and Data Server, versión 10.1 y anteriores;
- Metasys Extended Application and Data Server, versión 10.1 y anteriores;
- Metasys Open Data Server, versión 10.1 y anteriores;
- Metasys Open Application Server, versión 10.1 y anteriores;
- Metasys Network Automation Engine, versiones 9.0.1, 9.0.2, 9.0.3, 9.0.5 y 9.0.6;
- Metasys Network Integration Engine, versiones 9.0.1, 9.0.2, 9.0.3, 9.0.5 y 9.0.6;
- Metasys NAE85 y NIE85, versión 10.1 y anteriores;
- Metasys LonWorks Control Server, versión 10.1 y anteriores;
- Metasys System Configuration Tool, versión 13.2 y anteriores;
- Metasys Smoke Control Network Automation Engine, versión 8.1.
Descripción
Se han reportado vulnerabilidades que afectan a múltiples productos de Johnson Controls y que podrían permitir a un atacante ejecutar código malicioso con privilegios del sistema, provocar un ataque de denegación de servicio o acceder a información sensible.
Solución
Actualizar a la versión 8.10 de EntraPass.
Detalle
- Un problema en la API podría permitir a un atacante remoto subir y ejecutar código malicioso con privilegios del sistema. Se ha asignado el identificador CVE-2019-7589 para esta vulnerabilidad.
- Una vulnerabilidad XXE podría permitir a un atacante extraer archivos ASCII del servidor. Se ha asignado el identificador CVE-2020-9044 para esta vulnerabilidad.
Listado de referencias
Etiquetas