CVE-2021-27657
| Summary |
Successful exploitation of this vulnerability could give an authenticated Metasys user an unintended level of access to the server file system, allowing them to access or modify system files by sending specifically crafted web messages to the Metasys system. This issue affects: Johnson Controls Metasys version 11.0 and prior versions.
|
| Publication Date |
June 5, 2021, 12:15 a.m. |
| Registration Date |
June 5, 2021, 10 a.m. |
| Last Update |
Nov. 21, 2024, 2:58 p.m. |
|
CVSS3.1 : HIGH
|
| スコア |
8.8
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
低 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
|
CVSS2.0 : MEDIUM
|
| Score |
6.5
|
| Vector |
AV:N/AC:L/Au:S/C:P/I:P/A:P |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃前の認証要否(Au) |
単一 |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
低 |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
いいえ
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:johnsoncontrols:metasys:*:*:*:*:*:*:*:* |
|
11.0 |
|
|
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Johnson Controls 製 Metasys Servers、Engines、SCT Tools に不適切な権限管理の脆弱性
| Title |
Johnson Controls 製 Metasys Servers、Engines、SCT Tools に不適切な権限管理の脆弱性
|
| Summary |
Johnson Controls 社が提供する Metasys Servers、Engines、SCT Tools には、不適切な権限管理の脆弱性 (CWE-269、CVE-2021-27657) が存在します。
|
| Possible impacts |
認証された遠隔の第三者が Metasys サーバのファイルシステムへの権限を昇格し、特別に細工されたウェブメッセージを Metasys システムに送信することで、システムファイルにアクセスされたり変更される可能性があります。 |
| Solution |
[アップグレードする] v9.0 より前のバージョンを使用している場合、開発者が提供する情報をもとに、最新版にアップグレードしてください。 [パッチを適用する] v9.0 (engine のみ)、v10.0、v10.1、 v11.0 を使用している場合、開発者が提供する情報をもとに、パッチを適用してください。 [ワークアラウンドを実施する] 開発者は次のワークアラウンドの適用を推奨しています。 * 活動中および休眠中のすべてのユーザアカウントを確認し、休眠中のユーザーアカウントが必要か判断する * Metasys を使用する必要のないユーザーアカウントを削除する * v10.1 およびそれ以降の Metasys Server を使用している場合は、監査ログと Cyber Health Dashboard を監視し、ユーザの活動を調査する * Metasys サイトのパスワードを定期的に変更する |
| Publication Date |
June 9, 2021, midnight |
| Registration Date |
June 11, 2021, 3:39 p.m. |
| Last Update |
June 11, 2021, 3:39 p.m. |
Affected System
| ジョンソンコントロールズ |
|
Metasys すべてのバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年06月11日]
掲載 |
June 11, 2021, 3:39 p.m. |