PT-2022-3412 · Johnson Controls · Metasys Extended Application/Data Server+2
Publicado
2022-06-15
·
Atualizado
2022-06-24
·
CVE-2022-21935
CVSS v2.0
8.3
Alta
| Vetor | AV:A/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Metasys Application and Data Server (ADS) versões anteriores à 10.1.5
Metasys Extended Application and Data Server (ADX) versões anteriores à 10.1.5
Metasys Extended Application and Data Server (ADX) versões anteriores à 11.0.2
Versões do Metasys Application and Data Server (ADS) anteriores à 11.0.2
Metasys Open Application Server (OAS) (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de verificações necessárias ao remover uma senha. Isso pode permitir que um invasor remoto execute código arbitrário explorando a vulnerabilidade, possibilitando potencialmente alterações de senha não verificadas.
Recomendações
Para versões do Metasys ADS anteriores à 10.1.5, atualize para a versão 10.1.5 ou posterior.
Para versões do Metasys ADX anteriores à 10.1.5, atualize para a versão 10.1.5 ou posterior.
Para versões do Metasys ADS anteriores à 11.0.2, atualize para a versão 11.0.2 ou posterior.
Para versões do Metasys ADX anteriores à 11.0.2, atualize para a versão 11.0.2 ou posterior.
Para o Metasys OAS, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Metasys Application/Data Server
Metasys Extended Application/Data Server
Metasys Open Application Server