公開日:2023/02/10 最終更新日:2023/02/10

JVNVU#93246494
Johnson Controls製System Configuration Tool(SCT)における複数の脆弱性

概要

Johnson Controlsが提供するSystem Configuration Tool(SCT)には、複数の脆弱性が存在します。

影響を受けるシステム

  • System Configuration Tool (SCT) 14.2.3より前の14系バージョン
  • System Configuration Tool (SCT) 15.0.3より前の15系バージョン

詳細情報

Johnson Controlsが提供するSystem Configuration Tool(SCT)には、次の複数の脆弱性が存在します。

  • HttpOnly属性のない重要なCookie (CWE-1004) - CVE-2022-21939
  • Secure属性のないHTTPSセッション内の重要なCookie (CWE-614) - CVE-2022-21940

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • クロスサイトスクリプティングに対して脆弱であり、遠隔の第三者にcookieを窃取され、当該製品を制御される - CVE-2022-21939、CVE-2022-21940

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Johnson Controls JCI-PSA-2022-07(PDF)

参考情報

  1. ICS Advisory (ICSA-23-040-03)
    Johnson Controls System Configuration Tool (SCT)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia