Fecha de publicación: 10/02/2023
Importancia:
Alta
Recursos afectados:
Las siguientes versiones de System Configuration Tool (SCT) son vulnerables:
- Versión 14: versiones anteriores a 14.2.3;
- Versión 15: versiones anteriores a 15.0.3.
Descripción:
Johnson Controls, Inc. ha reportado dos vulnerabilidades de severidad alta que podrían permitir a un atacante acceder a las cookies y tomar el control de la sesión del usuario.
Solución:
Johnson Controls recomienda aplicar las siguientes actualizaciones para el producto afectado en sus diferentes versiones:
- Versión 14: actualizar a la versión 14.2.3;
- Versión 15: actualizar a la versión 15.0.3.
Detalle:
Existen dos vulnerabilidades de Cross-Site Scripting en las versiones 14 y 15 de System Configuration Tool, que podrían permitir a un atacante remoto, acceder a las cookies para hacerse con el control del sistema afectado.
- La primera vulnerabilidad es posible debido al no uso del flag «HttpOnly». Se ha asignado el identificador CVE-2022-21939 para esta vulnerabilidad.
- La segunda vulnerabilidad es posible debido a la no utilización del parámetro «secure». Se ha asignado el identificador CVE-2022-21940 para esta vulnerabilidad.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.