Vulnerabilidad en Metasys de Johnson Controls Inc.

Fecha de publicación 06/04/2022

Importancia

4 - Alta

Recursos Afectados

Metasys ADS/ADX/OAS, versiones 10 y 11.

Descripción

Tony West ha reportado esta vulnerabilidad de severidad alta a Johnson Controls Inc., publicada por el CISA, que podría permitir a un atacante, autenticado, inyectar código malicioso en la funcionalidad MUI PDF export.

Solución

Actualizar Metasys ADS/ADX/OAS:
- versión 10 a la versión 10.1.5;
- versión 11 a la versión 11.0.2.

Detalle

Un atacante autenticado podría inyectar código malicioso en la función de exportación de PDF de MUI (MUI PDF export), lo que podría dar lugar a la falsificación de solicitudes del lado del servidor (ataque server-side request forgery). Se ha asignado el identificador CVE-2021-36202 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-22-095-02) Johnson Controls Metasys

Etiquetas

Actualización
Vulnerabilidad