Acceso no autorizado a funciones de depuración en múltiples productos de Johnson Controls
Fecha de publicación 10/11/2023
Identificador
INCIBE-2023-0488
Importancia
5 - Crítica
Recursos Afectados
- Versiones de Quantum HD Unity Compressor control panels:
- (Q5): todas las versiones anteriores a v11.22
- (Q6): todas las versiones anteriores a v12.22
- Versiones de Quantum HD Unity AcuAir control panels:
- (Q5): todas las versiones anteriores a v11.12
- (Q6): todas las versiones anteriores a v12.12
- Versiones de Quantum HD Unity Condenser/Vessel control panels:
- (Q5): todas las versiones anteriores a v11.11
- (Q6): todas las versiones anteriores a v12.11
- Versiones de Quantum HD Unity Evaporator control panels:
- (Q5): todas las versiones anteriores a v11.11
- (Q6): todas las versiones anteriores a v12.11
- Versiones de Quantum HD Unity Engine Room control panels:
- (Q5): todas las versiones anteriores a v11.11
- (Q6): todas las versiones anteriores a v12.11
- Versiones de Quantum HD Unity Interface control panels:
- (Q5): todas las versiones anteriores a v11.11
- (Q6): todas las versiones anteriores a v12.11
Descripción
Jim Reprogle ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante no autorizado acceder a funciones de depuración expuestas accidentalmente.
Solución
Johnson Controls recomienda a los usuarios actualizar los productos a las últimas versiones. Más información acerca de las versiones específicas en las referencias.
Detalle
Los productos Quantum HD de Johnson Controls podrían permitir a un usuario no autorizado acceder a funciones de depuración que se expusieran accidentalmente. Se ha asignado el identificador CVE-2023-4804 para esta vulnerabilidad.