Múltiples vulnerabilidades en servidores Metasys ADS ADX OAS de Johnson Controls

Fecha de publicación:

16/06/2022

Identificador:

INCIBE-2022-0788

Importancia:

4 - Alta

Recursos afectados:

Todas las versiones de Metasys ADS/ADX/OAS 10 y 11.

Descripción:

Johnson Controls informó de varias vulnerabilidades que podrían permitir que los usuarios, no autorizados, comprometan las contraseñas e inyecten código malicioso en las interfaces web.

Solución:

Johnson Controls ha publicado nuevas versiones que corrigen estas vulnerabilidades:

Metasys ADS/ADX/OAS Versión 10, parche 10.1.5;
Metasys ADS/ADX/OAS Versión 11, parche 11.0.2

Detalle:

Johnson Controls ha corregido varias vulnerabilidades que permitirían un cambio de contraseñas no verificado, e inyección de código malicioso por medio de Cross-site Scripting (XSS). Se han asignado los identificadores CVE‐2022‐21935, CVE‐2022‐21937 y CVE‐2022‐21938.

Referencias:

JCI‐PSA‐2022‐10

ICSA-22-165-01: Johnson Controls Metasys ADS ADX Servidores OAS

Etiquetas:

Actualización

Infraestructuras críticas

SCADA

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en servidores Metasys ADS ADX OAS de Johnson Controls

Múltiples vulnerabilidades en router Robustel R1510

Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Autenticación incorrecta en Exemys RME1

Múltiples vulnerabilidades en Advantech iView

Múltiples vulnerabilidades en Elcomplus SmartICS