CVE-2023-4486

Опубликовано: 07 дек. 2023

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

Under certain circumstances, invalid authentication credentials could be sent to the login endpoint of Johnson Controls Metasys NAE55, SNE, and SNC engines prior to

versions 11.0.6 and 12.0.4

and Facility Explorer F4-SNC engines prior to versions 11.0.6 and 12.0.4 to cause denial-of-service.

Ссылки

https://www.cisa.gov/news-events/ics-advisories/icsa-23-341-03
Third Party Advisory
US Government Resource
https://www.johnsoncontrols.com/cyber-solutions/security-advisories
Vendor Advisory
https://www.cisa.gov/news-events/ics-advisories/icsa-23-341-03
Third Party Advisory
US Government Resource
https://www.johnsoncontrols.com/cyber-solutions/security-advisories
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:johnsoncontrols:nae55_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:nae55:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:johnsoncontrols:sne22000_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:sne22000:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:johnsoncontrols:sne11000_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:sne11000:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:johnsoncontrols:sne10500_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:sne10500:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:johnsoncontrols:sne110l0_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:sne110l0:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:johnsoncontrols:snc25150-0_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:snc25150-0:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:johnsoncontrols:snc25150-04_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:snc25150-04:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:johnsoncontrols:snc16120-0_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:snc16120-0:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:johnsoncontrols:snc16120-04_firmware:*:*:*:*:*:*:*:*

Версия до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:snc16120-04:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

Одно из

cpe:2.3:o:johnsoncontrols:f4-snc_firmware:*:*:*:*:*:*:*:*

Версия до 11.0.6 (исключая)

cpe:2.3:o:johnsoncontrols:f4-snc_firmware:*:*:*:*:*:*:*:*

Версия от 12.0.0 (включая) до 12.0.4 (исключая)

cpe:2.3:h:johnsoncontrols:f4-snc:-:*:*:*:*:*:*:*

EPSS

Процентиль: 39%

0.00171

Низкий

7.5 High

CVSS3

Дефекты

CWE-400

CWE-770

Связанные уязвимости

GHSA-88j9-xvhv-gwc6

CVSS3: 7.5

github

около 2 лет назад

Under certain circumstances, invalid authentication credentials could be sent to the login endpoint of Johnson Controls Metasys NAE55, SNE, and SNC engines prior to version 12.0.4 and Facility Explorer F4-SNC engines prior to versions 11.0.6 and 12.0.4 to cause denial-of-service.

EPSS

Процентиль: 39%

0.00171

Низкий

7.5 High

CVSS3

Дефекты

CWE-400

CWE-770