公開日:2022/06/15 最終更新日:2022/06/15

JVNVU#94827488
Johnson Controls製Metasysにおける複数の脆弱性

概要

Johnson Controls社が提供するMetasysには、複数の脆弱性が存在します。

影響を受けるシステム

  • Metasys ADS/ADX/OAS Version 10
  • Metasys ADS/ADX/OAS Version 11

詳細情報

Johnson Controls社が提供するMetasysには、複数の脆弱性が存在します。

  • 未検証のパスワード変更 (CWE-620) - CVE-2022-21935
  • クロスサイトスクリプティング (CWE-79) - CVE-2022-21937、CVE-2022-21938

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • パスワード推測攻撃を受ける - CVE-2022-21935
  • 遠隔の第三者によって、Webインターフェースに悪意のあるコードを挿入される - CVE-2022-21937
  • 遠隔の第三者によって、Draft Graphics(MUI Graphics)のWebインターフェースに悪意のあるコードを挿入される - CVE-2022-21938

対策方法

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。

  • Metasys ADS/ADX/OAS Version 10 パッチ 10.1.5
  • Metasys ADS/ADX/OAS Version 11 パッチ 11.0.2

ベンダ情報

ベンダ リンク
Johnson Controls JCI‐PSA‐2022‐10

参考情報

  1. ICS Advisory (ICSA-22-165-01)
    Johnson Controls Metasys ADS ADX OAS Servers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia