Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Verificación de autorización inadecuada en victor Web Client de Johnson Controls

Fecha de publicación 18/11/2020
Importancia
4 - Alta
Recursos Afectados
  • Victor Web Client, versión 5.6 y anteriores;
  • C • CURE Web Client, versión 2.90 y anteriores.

El nuevo cliente C • CURE 9000 basado en web, que se introdujo en C • CURE 9000 v2.90, no se ve afectado

Descripción

Joachim Kerschbaumer ha reportado una vulnerabilidad, del tipo autenticación inadecuada, a Johnson Controls, Inc.

Solución

Actualizar a:

Detalle

Una vulnerabilidad de verificación de autorización inadecuada podría permitir a un atacante no autenticado, en la red, crear y firmar su propio token web JSON y usarlo para ejecutar un método de API HTTP sin la necesidad de una autenticación/autorización válida. En determinadas circunstancias, esto podría afectar a la disponibilidad del sistema mediante la realización de un ataque de denegación de servicio. Se ha asignado el identificador CVE-2020-9049 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Product Security AdvisoryOctober 8, 2020
ICS Advisory (ICSA-20-324-01) Johnson Controls Sensormatic Electronics American Dynamics victor Web Client
Etiquetas