Metasys Open Application Server
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01286
Распределение по критичности
Критический
2
Высокий
5
Средний
3
Низкий
0
Затронутые диапазоны версий
10.0–10.1.510.0–10.1.6
Также сопоставлено как (исходные строки): metasys_application_and_data_server,metasys_extended_application_and_data_server,metasys_open_application_server,metasys_open_data_server,metasys_system_configuration_tool,metasys_lonworks_control_server
Топ уязвимостей
CVE-2021-36205При определенных обстоятельствах токен сеанса не очищается при выходе из системы.
CVE-2020-9044В семействе продуктов Metasys Web Services существует уязвимость XXE, которая может способствовать DoS-атакам или сбору файлов ASCII с сервера. Это затрагивает Johnson Controls Metasys Application and Data Server (ADS, ADS-Lite) версий 10.1 и более ранних; Metasys Extended Application and Data Server (ADX) версий 10.1 и более ранних; Metasys Open Data Server (ODS) версий 10.1 и более ранних; Metasys Open Application Server (OAS) версии 10.1; Metasys Network Automation Engine (только NAE55) версий 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6; Metasys Network Integration Engine (NIE55/NIE59) версий 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6; Metasys NAE85 и NIE85 версий 10.1 и более ранних; Metasys LonWorks Control Server (LCS) версий 10.1 и более ранних; Metasys System Configuration Tool (SCT) версий 13.2 и более ранних; Metasys Smoke Control Network Automation Engine (NAE55, UL 864 UUKL/ORD-C100-13 UUKLC 10th Edition Listed) версии 8.1.
CVE-2022-21934При определенных обстоятельствах аутентифицированный пользователь может заблокировать других пользователей в системе или захватить их учетные записи на сервере Metasys ADS/ADX/OAS 10 версий до 10.1.5 и на сервере Metasys ADS/ADX/OAS 11 версий до 11.0.2.
CVE-2021-36207При определенных обстоятельствах неправильное управление привилегиями в Metasys ADS/ADX/OAS серверах версий 10 и 11 может позволить аутентифицированному пользователю повысить свои привилегии до администратора.
CVE-2021-36202Уязвимость Server-Side Request Forgery (SSRF) в Johnson Controls Metasys может позволить аутентифицированному злоумышленнику внедрить вредоносный код в функцию экспорта MUI PDF. Эта проблема затрагивает: Johnson Controls Metasys All 10 versions versions prior to 10.1.5; All 11 versions versions prior to 11.0.2.
CVE-2022-21935Уязвимость в Metasys ADS/ADX/OAS 10 версий до 10.1.5 и Metasys ADS/ADX/OAS 11 версий до 11.0.2 позволяет изменять пароль без подтверждения.
CVE-2021-36204При некоторых обстоятельствах уязвимость недостаточно защищенных учетных данных в Johnson Controls Metasys ADS/ADX/OAS 10 версий до 10.1.6 и 11 версий до 11.0.3 позволяет API-вызовам предоставлять учетные данные в виде открытого текста.
CVE-2022-21938При определенных обстоятельствах уязвимость в Metasys ADS/ADX/OAS 10 версий до 10.1.5 и Metasys ADS/ADX/OAS 11 версий до 11.0.2 может позволить пользователю внедрить вредоносный код в веб-интерфейс MUI Graphics.
CVE-2022-21937При определенных обстоятельствах уязвимость в Metasys ADS/ADX/OAS 10 версий до 10.1.5 и Metasys ADS/ADX/OAS 11 версий до 11.0.2 может позволить пользователю внедрить вредоносный код в веб-интерфейс.
CVE-2021-36200При определенных обстоятельствах неаутентифицированный пользователь может получить доступ к веб-API для Metasys ADS/ADX/OAS 10 версий до 10.1.6 и 11 версий до 11.0.2 и перечислить пользователей.