Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en servidores Metasys ADS ADX OAS de Johnson Controls

Fecha de publicación 16/06/2022
Identificador

INCIBE-2022-0788

Importancia
4 - Alta
Recursos Afectados

Todas las versiones de Metasys ADS/ADX/OAS 10 y 11.

Descripción

Johnson Controls informó de varias vulnerabilidades que podrían permitir que los usuarios, no autorizados, comprometan las contraseñas e inyecten código malicioso en las interfaces web.

Solución

Johnson Controls ha publicado nuevas versiones que corrigen estas vulnerabilidades:

  • Metasys ADS/ADX/OAS Versión 10, parche 10.1.5;
  • Metasys ADS/ADX/OAS Versión 11, parche 11.0.2
Detalle

Johnson Controls ha corregido varias vulnerabilidades que permitirían un cambio de contraseñas no verificado, e inyección de código malicioso por medio de Cross-site Scripting (XSS). Se han asignado los identificadores CVE‐2022‐21935, CVE‐2022‐21937 y CVE‐2022‐21938.

Encuesta valoración

Listado de referencias
JCI‐PSA‐2022‐10
ICSA-22-165-01: Johnson Controls Metasys ADS ADX Servidores OAS
Etiquetas