Описание
Уязвимость серверов Metasys Application and Data Server (ADS), Metasys Extended Application and Data Server (ADX) и Metasys Open Application Server (OAS) связана с неполной очисткой токена сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить токен сеанса аутентифицированного пользователя
Вендор
Johnson Controls Inc.
Наименование ПО
Metasys Application and Data Server (ADS)
Metasys Extended Application and Data Server (ADX)
Metasys Open Application Server (OAS)
Версия ПО
от 10 до 10.1.5 (Metasys Application and Data Server (ADS))
от 11 до 11.0.2 (Metasys Application and Data Server (ADS))
от 10 до 10.1.5 (Metasys Extended Application and Data Server (ADX))
от 11 до 11.0.2 (Metasys Extended Application and Data Server (ADX))
от 10 до 10.1.5 (Metasys Open Application Server (OAS))
от 11 до 11.0.2 (Metasys Open Application Server (OAS))
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2022/jci-psa-2022-06.pdf?la=en&hash=C64B74E8631F6BF4864258237E3A842DC713D1CC
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
- ICSA
- SB
EPSS
Процентиль: 51%
0.00275
Низкий
8.1 High
CVSS3
9.3 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.1
nvd
почти 4 года назад
Under certain circumstances the session token is not cleared on logout.
CVSS3: 9.8
github
почти 4 года назад
Under certain circumstances the session token is not cleared on logout.
EPSS
Процентиль: 51%
0.00275
Низкий
8.1 High
CVSS3
9.3 Critical
CVSS2