Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades del tipo Cross-Site Scripting (XSS) que afectan a System Configuration Tool (SCT) de Johnson Controls, que permitirían a un atacante obtener acceso no autorizado en el sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2022-21939 y CVE-2022-21940, ambas de severidad “Alta” y con puntuación asignada de 7.5. Estas vulnerabilidades del tipo cross-site scripting (XSS) se deben a una comprobación incorrecta de cookies sin los parámetros “HttpOnly” y “Secure” en System Configuration Tool (SCT) de Johnson Controls. Esto permitiría a un atacante obtener acceso no autorizado a las cookies de los usuarios, permitiendo así realizar acciones con la sesión de la víctima e incluso el control del sistema afectado.
Los productos afectados son:
- System Configuration Tool (SCT), versiones a partir de 14 y previas a 14.2.3.
- System Configuration Tool (SCT), versiones a partir de 15 y previas a 15.0.3
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://www.cisa.gov/uscert/ics/advisories/icsa-23-040-03
- https://nvd.nist.gov/vuln/detail/CVE-2022-21939
- https://nvd.nist.gov/vuln/detail/CVE-2022-21940
- https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2023/jci-psa-2022-07.pdf?la=en&hash=363E2A443B9B26A3290C32ADE0674C5935E87C4F
- https://www.johnsoncontrols.com/services-and-support