漏洞信息详情
Johnson Controls Metasys 代码注入漏洞
- CNNVD编号:CNNVD-201503-613
- 危害等级: 超危
- CVE编号: CVE-2014-5428
- 漏洞类型: 代码注入
- 发布时间: 2015-03-30
- 威胁类型: 远程
- 更新时间: 2015-04-03
- 厂 商: johnsoncontrols
- 漏洞来源:
漏洞简介
Johnson Controls Metasys是美国江森自控(Johnson Controls)公司的一套楼宇自控系统。该系统支持通过多种开放协议或标准接口与消防、安防等弱电子系统联网,以及通过IT手段与企业ERP、机场航班等信息系统无缝集成。
多款Johnson Controls产品中使用的Johnson Controls Metasys 4.1版本至6.5版本的Web服务中存在任意文件上传漏洞。远程攻击者可通过上传shell脚本利用该漏洞执行任意代码。以下产品受到影响:Application and Data Server(ADS),Extended Application and Data Server,LonWorks Control Server 85 LCS8520,Network Automation Engine(NAE)55xx-x Models,Network Integration Engine(NIE)5xxx-x Models,NxE8500。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://cgproducts.johnsoncontrols.com/MET_PDF/12011279.pdf
http://cgproducts.johnsoncontrols.com/MET_PDF/1201578.pdf
参考网址
来源:US-CERT Vulnerability Note:ics-cert.us-cert.gov
链接:https://ics-cert.us-cert.gov/advisories/ICSA-14-350-02
受影响实体
- Johnsoncontrols Metsys:4.1
- Johnsoncontrols Metsys:6.5
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论