Múltiples vulnerabilidades en System Configuration Tool de Johnson Controls

Fecha de publicación: 10/02/2023

Importancia:
Alta

Recursos afectados:

Las siguientes versiones de System Configuration Tool (SCT) son vulnerables:

Versión 14: versiones anteriores a 14.2.3;
Versión 15: versiones anteriores a 15.0.3.

Descripción:

Johnson Controls, Inc. ha reportado dos vulnerabilidades de severidad alta que podrían permitir a un atacante acceder a las cookies y tomar el control de la sesión del usuario.

Solución:

Johnson Controls recomienda aplicar las siguientes actualizaciones para el producto afectado en sus diferentes versiones:

Versión 14: actualizar a la versión 14.2.3;
Versión 15: actualizar a la versión 15.0.3.

Detalle:

Existen dos vulnerabilidades de Cross-Site Scripting en las versiones 14 y 15 de System Configuration Tool, que podrían permitir a un atacante remoto, acceder a las cookies para hacerse con el control del sistema afectado.

La primera vulnerabilidad es posible debido al no uso del flag “HttpOnly”. Se ha asignado el identificador CVE-2022-21939 para esta vulnerabilidad.
La segunda vulnerabilidad es posible debido a la no utilización del parámetro “secure”. Se ha asignado el identificador CVE-2022-21940 para esta vulnerabilidad.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Múltiples vulnerabilidades en System Configuration Tool de Johnson Controls

Información

Enlaces de Soporte

Aviso Legal

Política de Privacidad

Política de Cookies