Divulgación de información en Metasys y BCPro de Johnson Controls

Fecha de publicación:

01/08/2018

Importancia:

3 - Media

Recursos afectados:

Metasys System, Versión 8.0 y anteriores
BCPro (BCM), todas las versiones anteriores a la 3.0.2

Descripción:

El investigador Dan Regalado de Zingbox ha identificado una vulnerabilidad de tipo divulgación de información que afecta a productos de Johnson Controls. Un potencial atacante podría obtener información técnica.

Solución:

La vulnerabilidad en Metasys se corrigió en la versión v8.1, no obstante, se debe actualizar a la última versión del producto, versión 9.0. Los usuarios de BCPro Workstation deben actualizar a la versión v3.0 para remediar la vulnerabilidad y los de BACnet Router y Gateway deben actualizar a la versión 3.0.2.

Detalle:

Esta vulnerabilidad es producto de la inadecuada gestión de errores de las comunicaciones con el servidor basadas en HTTP, las cuales pueden permitir a un atacante obtener información técnica. Se ha asignado el identificador CVE-2018-10624 a esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-212-02)

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Divulgación de información en Metasys y BCPro de Johnson Controls

Múltiples vulnerabilidades en productos MB connect line

Múltiples vulnerabilidades en Philips Clinical Collaboration Platform

Múltiples vulnerabilidades en CodeMeter de Wibu Systems

Vulnerabilidad en WebAccess Node de Advantech

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon