PT-2026-37659 · Johnson Controls · Ac2000
Publicado
2026-05-06
·
Atualizado
2026-05-06
·
CVE-2026-21661
CVSS v4.0
8.4
Alta
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
JohnsonControls AC2000 versões 10.6 até 10
JohnsonControls AC2000 versões 11.0 até 9
JohnsonControls AC2000 versões 12 até 3
Descrição
Um problema de elemento de caminho de pesquisa não controlado permite a manipulação dos caminhos de pesquisa de arquivos de configuração. Isso pode ser explorado via DLL hijacking—uma técnica onde uma biblioteca maliciosa é colocada em um local onde a aplicação a carregará—para escalar privilégios e mover-se lateralmente por redes de infraestrutura crítica, incluindo os setores de manufatura, energia e governamental.
Recomendações
Para as versões 10.6 até 10, atualize para a versão 10.
Para as versões 11.0 até 9, atualize para a versão 9.
Para as versões 12 até 3, atualize para a versão 3.
Implemente a segmentação de tempo de execução para conter a movimentação lateral após um comprometimento.
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ac2000