JVNVU#94827488
Johnson Controls製Metasysにおける複数の脆弱性

Johnson Controls社が提供するMetasysには、複数の脆弱性が存在します。

• Metasys ADS/ADX/OAS Version 10
• Metasys ADS/ADX/OAS Version 11

Johnson Controls社が提供するMetasysには、複数の脆弱性が存在します。

• 未検証のパスワード変更 (CWE-620) - CVE-2022-21935
• クロスサイトスクリプティング (CWE-79) - CVE-2022-21937、CVE-2022-21938

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• パスワード推測攻撃を受ける - CVE-2022-21935
• 遠隔の第三者によって、Webインターフェースに悪意のあるコードを挿入される - CVE-2022-21937
• 遠隔の第三者によって、Draft Graphics（MUI Graphics）のWebインターフェースに悪意のあるコードを挿入される - CVE-2022-21938

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。

• Metasys ADS/ADX/OAS Version 10 パッチ 10.1.5
• Metasys ADS/ADX/OAS Version 11 パッチ 11.0.2