CVE-2021-36203

MITJÀ: (5.3)

CVSS6: 4.6

Johnson Controls Metasys SCT Pro és vulnerable a la falsificació de sol·licituds del costat del servidor, causada per una validació inadequada de les sol·licituds dels usuaris. Mitjançant l’enviament d’una sol·licitud especialment elaborada, un atacant remot podria explotar aquesta vulnerabilitat per dur a terme un atac SSRF, permetent a l’atacant accedir o manipular recursos des de la perspectiva del servidor afectat.

Sistemes Afectats

• Johnson Controls Metasys SCT Pro 14.2.1
• Johnson Controls Metasys SCT 14.2.1

Remediació
Consulteu Johnson Controls Product Security Advisory JCI-PSA-2022-03 per obtenir informació d’actualització o solució recomanada.

Referències

• https://www.cisa.gov/uscert/ics/advisories/icsa-22-111-02
• https://www.johnsoncontrols.com/cyber-solutions/security-advisories
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36203