CVE-2022-21936

ALT: (8.1)

CVSS3: 7.1

Johnson Controls Metasys ADX Server podria permetre a un atacant remot autenticat saltar-se les restriccions de seguretat, pel fet que no s’han pogut provar o no s’han validat prou les reclamacions d’identitat dels usuaris. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a saltar-se l’autenticació i obtenir accés administratiu.

Sistemes Afectats

• Johnson Controls Metasys ADX Server 12.0

Remediació
Consulti el document JCI-PSA-2022-11 de Johnson Controls per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://www.cisa.gov/uscert/ics/advisories/icsa-22-277-01
• https://www.johnsoncontrols.com/building-automation-and-controls/building-management/building-automation-systems-bas/metasys-ads-adx
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21936