Múltiples vulnerabilidades en exacqVision de Johnson Controls

Fecha de publicación: 30/06/2021

Importancia:
Media

Recursos afectados:

  • exacqVision Web Service, versión 21.03 y anteriores;
  • exacqVision Enterprise Manager, versión 20.12 y anteriores.

Descripción:

Milan Kyselica y Roman Stevanak han reportado 2 vulnerabilidades a Johnson Controls, ambas de severidad media, que podrían permitir a un atacante enviar peticiones maliciosas suplantando a la víctima.

Solución:

Actualizar a:

  • exacqVision Web Service, versión 21.06;
  • exacqVision Enterprise Manager, versión 21.03.

Detalle:

El software no valida, filtra, sanea y/o codifica suficientemente la entrada controlada por el usuario antes de colocarla en la salida utilizada como página web, que se muestra a otros usuarios, lo que podría permitir a un atacante enviar peticiones maliciosas en nombre de la víctima a través de un XSS (Cross-site Scripting). Se han asignado los identificadores CVE-2021-27659 y CVE-2021-27658 para estas vulnerabilidades.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Abrir chat
Hola ¿En qué podemos ayudarte?