CVE-2022-21934

ALT: (8.0)

CVSS6: 7.0

Johnson Controls Metasys podria permetre a un atacant remot autenticat eludir les restriccions de seguretat, causades per un defecte no especificat. Mitjançant l’enviament d’una sol·licitud especialment elaborada, un atacant podria explotar aquesta vulnerabilitat per bloquejar altres usuaris fora del sistema i fer-se càrrec dels comptes.

Sistemes Afectats

• Johnson Controls Metasys 10
• Johnson Controls Metasys 11

Remediació
Consulteu Johnson Controls JCI-PSA-2022-09 per obtenir informació, actualització o solució recomanada. Vegeu Referències.

Referències

• https://www.cisa.gov/uscert/ics/advisories/icsa-22-125-01
• https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2022/jci-psa-2022-09.pdf?la=en&hash=CDBC2D715E982A79F3A11C86819CF4766F047274
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21934