Inicio / Alerta Temprana / Avisos Sci / Verificación de autorización inadecuada en victor Web Client de Johnson Controls

Verificación de autorización inadecuada en victor Web Client de Johnson Controls

Fecha de publicación: 
18/11/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Victor Web Client, versión 5.6 y anteriores;
  • C • CURE Web Client, versión 2.90 y anteriores.

El nuevo cliente C • CURE 9000 basado en web, que se introdujo en C • CURE 9000 v2.90, no se ve afectado

Descripción: 

Joachim Kerschbaumer ha reportado una vulnerabilidad, del tipo autenticación inadecuada, a Johnson Controls, Inc.

Detalle: 

Una vulnerabilidad de verificación de autorización inadecuada podría permitir a un atacante no autenticado, en la red, crear y firmar su propio token web JSON y usarlo para ejecutar un método de API HTTP sin la necesidad de una autenticación/autorización válida. En determinadas circunstancias, esto podría afectar a la disponibilidad del sistema mediante la realización de un ataque de denegación de servicio. Se ha asignado el identificador CVE-2020-9049 para esta vulnerabilidad.

Encuesta valoración