| 概要 | Successful exploitation of this vulnerability could give an authenticated Metasys user an unintended level of access to the server file system, allowing them to access or modify system files by sending specifically crafted web messages to the Metasys system. This issue affects: Johnson Controls Metasys version 11.0 and prior versions. |
|---|---|
| 公表日 | 2021年6月5日0:15 |
| 登録日 | 2021年6月5日10:00 |
| 最終更新日 | 2024年11月21日14:58 |
| CVSS3.1 : HIGH | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 低 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : MEDIUM | |
| スコア | 6.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | いいえ |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:johnsoncontrols:metasys:*:*:*:*:*:*:*:* | 11.0 | ||||
| タイトル | Johnson Controls 製 Metasys Servers、Engines、SCT Tools に不適切な権限管理の脆弱性 |
|---|---|
| 概要 | Johnson Controls 社が提供する Metasys Servers、Engines、SCT Tools には、不適切な権限管理の脆弱性 (CWE-269、CVE-2021-27657) が存在します。 |
| 想定される影響 | 認証された遠隔の第三者が Metasys サーバのファイルシステムへの権限を昇格し、特別に細工されたウェブメッセージを Metasys システムに送信することで、システムファイルにアクセスされたり変更される可能性があります。 |
| 対策 | [アップグレードする] v9.0 より前のバージョンを使用している場合、開発者が提供する情報をもとに、最新版にアップグレードしてください。 [パッチを適用する] v9.0 (engine のみ)、v10.0、v10.1、 v11.0 を使用している場合、開発者が提供する情報をもとに、パッチを適用してください。 [ワークアラウンドを実施する] 開発者は次のワークアラウンドの適用を推奨しています。 * 活動中および休眠中のすべてのユーザアカウントを確認し、休眠中のユーザーアカウントが必要か判断する * Metasys を使用する必要のないユーザーアカウントを削除する * v10.1 およびそれ以降の Metasys Server を使用している場合は、監査ログと Cyber Health Dashboard を監視し、ユーザの活動を調査する * Metasys サイトのパスワードを定期的に変更する |
| 公表日 | 2021年6月9日0:00 |
| 登録日 | 2021年6月11日15:39 |
| 最終更新日 | 2021年6月11日15:39 |
| ジョンソンコントロールズ |
| Metasys すべてのバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年06月11日] 掲載 |
2021年6月11日15:39 |