Johnson Controls 製 Metasys における重要な機能に対する認証の欠如の脆弱性
タイトル Johnson Controls 製 Metasys における重要な機能に対する認証の欠如の脆弱性
概要

Johnson Controls が提供する Metasys には、次の脆弱性が存在します。  * 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-36200

想定される影響 脆弱性を悪用された場合、次のような影響を受ける可能性があります。   * 遠隔の第三者によって、MUI web APIを利用して当該製品にアクセスされユーザ情報を窃取される - CVE-2021-36200
対策

[パッチを適用する] 開発者は、パッチを提供しています。 詳細は、開発者が提供する情報をご確認ください。

公表日 2022年7月22日0:00
登録日 2022年7月25日18:16
最終更新日 2024年6月17日10:59
CVSS3.0 : 警告
スコア 5.3
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
影響を受けるシステム
ジョンソンコントロールズ
Metasys Application and Data Server 10
Metasys Application and Data Server 11
Metasys Extended Application and Data Server 10
Metasys Extended Application and Data Server 11
Metasys Open Application Server 10
Metasys Open Application Server 11
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2022年07月25日]
  掲載
2022年7月25日18:16
2 [2024年06月17日]
  参考情報:National Vulnerability Database (NVD) (CVE-2021-36200) を追加
2024年6月17日10:58

NVD脆弱性情報
CVE-2021-36200
概要

Under certain circumstances an unauthenticated user could access the the web API for Metasys ADS/ADX/OAS 10 versions prior to 10.1.6 and 11 versions prior to 11.0.2 and enumerate users.

公表日 2022年7月23日0:15
登録日 2022年7月23日10:00
最終更新日 2024年11月21日15:13
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:johnsoncontrols:metasys_open_application_server:*:*:*:*:*:*:*:* 11.0 11.0.2
cpe:2.3:a:johnsoncontrols:metasys_extended_application_and_data_server:*:*:*:*:*:*:*:* 11.0 11.0.2
cpe:2.3:a:johnsoncontrols:metasys_application_and_data_server:*:*:*:*:*:*:*:* 11.0 11.0.2
cpe:2.3:a:johnsoncontrols:metasys_application_and_data_server:*:*:*:*:*:*:*:* 10.0 10.1.6
cpe:2.3:a:johnsoncontrols:metasys_extended_application_and_data_server:*:*:*:*:*:*:*:* 10.0 10.1.6
cpe:2.3:a:johnsoncontrols:metasys_open_application_server:*:*:*:*:*:*:*:* 10.0 10.1.6
関連情報、対策とツール
共通脆弱性一覧