製品・ソフトウェアに関する情報
Johnson Controls 製 Metasys における重要な機能に対する認証の欠如の脆弱性
Title Johnson Controls 製 Metasys における重要な機能に対する認証の欠如の脆弱性
Summary

Johnson Controls が提供する Metasys には、次の脆弱性が存在します。  * 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-36200

Possible impacts 脆弱性を悪用された場合、次のような影響を受ける可能性があります。   * 遠隔の第三者によって、MUI web APIを利用して当該製品にアクセスされユーザ情報を窃取される - CVE-2021-36200
Solution

[パッチを適用する] 開発者は、パッチを提供しています。 詳細は、開発者が提供する情報をご確認ください。

Publication Date July 22, 2022, midnight
Registration Date July 25, 2022, 6:16 p.m.
Last Update June 17, 2024, 10:59 a.m.
CVSS3.0 : 警告
Score 5.3
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Affected System
ジョンソンコントロールズ
Metasys Application and Data Server 10
Metasys Application and Data Server 11
Metasys Extended Application and Data Server 10
Metasys Extended Application and Data Server 11
Metasys Open Application Server 10
Metasys Open Application Server 11
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2022年07月25日]
  掲載
July 25, 2022, 6:16 p.m.
2 [2024年06月17日]
  参考情報:National Vulnerability Database (NVD) (CVE-2021-36200) を追加
June 17, 2024, 10:58 a.m.

NVD Vulnerability Information
CVE-2021-36200
Summary

Under certain circumstances an unauthenticated user could access the the web API for Metasys ADS/ADX/OAS 10 versions prior to 10.1.6 and 11 versions prior to 11.0.2 and enumerate users.

Publication Date July 23, 2022, 12:15 a.m.
Registration Date July 23, 2022, 10 a.m.
Last Update Nov. 21, 2024, 3:13 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:johnsoncontrols:metasys_open_application_server:*:*:*:*:*:*:*:* 11.0 11.0.2
cpe:2.3:a:johnsoncontrols:metasys_extended_application_and_data_server:*:*:*:*:*:*:*:* 11.0 11.0.2
cpe:2.3:a:johnsoncontrols:metasys_application_and_data_server:*:*:*:*:*:*:*:* 11.0 11.0.2
cpe:2.3:a:johnsoncontrols:metasys_application_and_data_server:*:*:*:*:*:*:*:* 10.0 10.1.6
cpe:2.3:a:johnsoncontrols:metasys_extended_application_and_data_server:*:*:*:*:*:*:*:* 10.0 10.1.6
cpe:2.3:a:johnsoncontrols:metasys_open_application_server:*:*:*:*:*:*:*:* 10.0 10.1.6
Related information, measures and tools
Common Vulnerabilities List