CVE-2022-21940

ALT: (7,5)

CVSS3: 7,2

Johnson Controls System Configuration Tool (SCT) és vulnerable a les seqüències d’ordres en llocs creuats. Això vindria causat per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant una URL especialment dissenyada per executar un script al navegador Web de la víctima dins del context de seguretat del lloc web d’allotjament, una vegada que es fa clic a la URL. L’atacant podria utilitzar aquesta vulnerabilitat per prendre les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Johnson Controls System Configuration Tool (SCT) 14.2
• Johnson Controls System Configuration Tool (SCT) 15.0

Remediació
Consulteu JCI-PSA-2022-07 per obtenir informació sobre actualitzacions o solucions suggerides. També podeu dirigir-vos a l’apartat de re referències per saber-ne més.

Referències

• https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-03
• https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2023/jci-psa-2022-07.pdf?la=en&hash=363E2A443B9B26A3290C32ADE0674C5935E87C4F
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21940