Fecha de publicaciĂłn: 10/02/2023
Importancia:
Alta
Recursos afectados:
Las siguientes versiones de System Configuration Tool (SCT) son vulnerables:
- VersiĂłn 14: versiones anteriores a 14.2.3;Â
- VersiĂłn 15: versiones anteriores a 15.0.3.Â
DescripciĂłn:
Johnson Controls, Inc. ha reportado dos vulnerabilidades de severidad alta que podrĂan permitir a un atacante acceder a las cookies y tomar el control de la sesiĂłn del usuario.
SoluciĂłn:
Johnson Controls recomienda aplicar las siguientes actualizaciones para el producto afectado en sus diferentes versiones:
- VersiĂłn 14: actualizar a la versiĂłn 14.2.3;
- VersiĂłn 15: actualizar a la versiĂłn 15.0.3.
Detalle:
Existen dos vulnerabilidades de Cross-Site Scripting en las versiones 14 y 15 de System Configuration Tool, que podrĂan permitir a un atacante remoto, acceder a las cookies para hacerse con el control del sistema afectado.
- La primera vulnerabilidad es posible debido al no uso del flag “HttpOnly”. Se ha asignado el identificador CVE-2022-21939 para esta vulnerabilidad.
- La segunda vulnerabilidad es posible debido a la no utilizaciĂłn del parĂĄmetro “secure”. Se ha asignado el identificador CVE-2022-21940 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.