Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Metasys de Johnson Controls Inc.

Fecha de publicación 06/05/2022
Importancia
4 - Alta
Recursos Afectados

Metasys ADS/ADX/OAS Servers, versiones 10 y 11.

Descripción

Johnson Controls ha reportado esta vulnerabilidad de severidad alta al CISA, que podría permitir a un atacante autentificado bloquear a otros usuarios del sistema y hacerse con sus cuentas.

Solución
  • Actualizar todas las versiones 10 de Metasys ADS/ADX/OAS con el parche 10.1.5;
  • Actualizar todas las versiones 11 de Metasys ADS/ADX/OAS con el parche 11.0.
Detalle

La falta de verificación en el cambio de contraseñas podría permitir a un usuario autentificado bloquear a otros usuarios del sistema y tomar el control de las cuentas. Se ha asignado el identificador CVE-2022-21934 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-22-125-01) Johnson Controls Metasys
JCI‐PSA‐2022‐09
Etiquetas