Inicio / Alerta Temprana / Avisos Sci / Credenciales en texto plano en productos de Johnson Controls

Credenciales en texto plano en productos de Johnson Controls

Fecha de publicación: 
13/01/2023
Identificador: 
INCIBE-2023-0015
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de los servidores Metasys ADS/ADX/OAS de Johnson Controls están afectadas:

  • Versión 10.X: todas las versiones anteriores a la versión 10.1.6;
  • Versión 11.X: todas las versiones anteriores a la versión 11.1.3.
Descripción: 

Johnson Controls, Inc. ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante no autorizado obtener las credenciales en plano.

Solución: 

Johnson Controls recomienda a los usuarios actualizar los productos afectados a las siguientes versiones:

  • Metasys ADS/ADX/OAS Versión 10.X: actualizar a la versión 10.1.6;
  • Metasys ADS/ADX/OAS Versión 11.X: actualizar a la versión 11.0.3.
Detalle: 

Los servidores Metasys ADS/ADX/OAS de Johnson Controls, podrían exponer credenciales en texto plano mediante llamadas a la interfaz programable de aplicaciones (API). Se ha asignado el identificador CVE-2021-36204 para esta vulnerabilidad.

Encuesta valoración