PT-2022-3555 · Johnson Controls · Metasys Ads/Adx/Oas Server
Publicado
2022-04-29
·
Atualizado
2022-05-11
·
CVE-2021-36207
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Servidores Metasys ADS/ADX/OAS, versões 10 e 11
Descrição
O problema está relacionado a um gerenciamento inadequado de privilégios nos servidores, o que poderia permitir que um usuário autenticado elevasse seus privilégios ao nível de administrador em determinadas circunstâncias. Isso poderia ser potencialmente explorado por um invasor remoto para obter acesso com privilégios de administrador.
Recomendações
Para as versões 10 e 11, considere restringir o acesso a áreas sensíveis do servidor até que uma correção adequada seja aplicada, com foco em limitar as capacidades dos usuários autenticados para impedir a escalada de privilégios.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Metasys Ads/Adx/Oas Server