Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Autorización inapropiada en ESM de Johnson Controls

Fecha de publicación 14/06/2019
Importancia
3 - Media
Recursos Afectados

exacqVision ESM versión 5.12.2 y anteriores, en todos los sistemas Windows a excepción de Windows Server.

Descripción

El investigador @bzyo_ ha descubierto una vulnerabilidad de tipo autorización inapropiada en los productos exacqVision ESM de Johnson Controls. La explotación exitosa de dicha vulnerabilidad podría permitir la ejecución de código malicioso en el sistema.

Solución

Actualizar el producto a la versión 19.03

Detalle

De forma predeterminada se otorgan permisos excesivos a los directorios de cuentas autorizadas en el sistema que tienen pocos privilegios, un atacante podría aprovechar esto para realizar cambios en el archivos de las aplicaciones instaladas o realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-7588 para esta vulnerabilidad.

Encuesta valoración