PT-2022-3385 · Johnson Controls · Metasys Oas+2
Publicado
2022-06-15
·
Atualizado
2022-06-24
·
CVE-2022-21938
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Metasys ADS/ADX/OAS anteriores à 10.1.5
Versões do Metasys ADS/ADX/OAS 11 anteriores à 11.0.2
Descrição
O problema está relacionado à falta de sanitização de dados de entrada no Metasys Application and Data Server (ADS), no Metasys Extended Application and Data Server (ADX) e no Metasys Open Application Server (OAS). Isso poderia permitir que um invasor remoto injetasse código malicioso na interface web do MUI Graphics, levando potencialmente à execução de código arbitrário.
Recomendações
Para as versões do Metasys ADS/ADX/OAS anteriores à 10.1.5, atualize para a versão 10.1.5 ou posterior.
Para as versões do Metasys ADS/ADX/OAS 11 anteriores à 11.0.2, atualize para a versão 11.0.2 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Metasys Ads
Metasys Adx
Metasys Oas