nvd
Johnsoncontrols
Уязвимости
68
Эксплуатируемые
0
Критический
16
Высокий
30
Топ продуктов
Metasys Extended Application And Data Server11Metasys Application And Data Server10Metasys Open Application Server10Exacqvision Web Service8Frick Controls Quantum Hd6Frick Controls Quantum Hd Firmware6Exacqvision Server4Metasys System Configuration Tool4C-cure 9000 Firmware3Metasys System3Application And Data Server2C-cure 90002Exacqvision Enterprise Manager2Extended Application And Data Server2F4-snc2F4-snc Firmware2Istar Ultra2Istar Ultra Firmware2Kantech Entrapass2Lonworks Control Server Lcs85202
Топ уязвимостей
CVE-2014-5428Уязвимость неограниченной загрузки файлов в неуказанных веб-сервисах Johnson Controls Metasys 4.1 - 6.5, используемых в Application and Data Server (ADS), Extended Application and Data Server (aka ADX), LonWorks Control Server 85 LCS8520, Network Automation Engine (NAE) 55xx-x, Network Integration Engine (NIE) 5xxx-x и NxE8500, позволяет удаленным злоумышленникам выполнять произвольный код путем загрузки shell-скрипта.
CVE-2024-0242При определенных обстоятельствах программное обеспечение панелей IQ Panel4 и IQ4 Hub версий до 4.4.2 могло позволить несанкционированный доступ к настройкам.
CVE-2023-4804Неавторизованный пользователь может получить доступ к функциям отладки в продуктах Quantum HD Unity, которые были случайно предоставлены.
CVE-2023-3548Неавторизованный пользователь может получить доступ к учетной записи IQ Wifi 6 версий до 2.0.2 путем проведения атаки грубой силой для аутентификации.
CVE-2023-3127Не прошедший проверку подлинности пользователь может войти в iSTAR Ultra, iSTAR Ultra LT, iSTAR Ultra G2 и iSTAR Edge G2 с правами администратора.
CVE-2023-0954Функция отладки в камерах Sensormatic Electronics Illustra Pro Gen 4 Dome и PTZ позволяет пользователю скомпрометировать учетные данные после длительного периода продолжительной атаки.
CVE-2022-21941Все версии iSTAR Ultra до версии 6.8.9.CU01 уязвимы для внедрения команд, что может предоставить не прошедшему проверку подлинности пользователю root-доступ к системе.
CVE-2021-36205При определенных обстоятельствах токен сеанса не очищается при выходе из системы.
CVE-2021-27664При определенных конфигурациях неаутентифицированный удаленный пользователь может получить доступ к учетным данным, хранящимся на сервере exacqVision.
CVE-2021-27663Уязвимость в версиях 10.1-10.5 Johnson Controls CEM Systems AC2000 позволяет удаленному злоумышленнику получить доступ к системе без надлежащей авторизации. Эта проблема затрагивает: Johnson Controls CEM Systems AC2000 10.1; 10.2; 10.3; 10.4; 10.5.
CVE-2019-7589Существует уязвимость с опцией SmartService API Service, посредством которой неавторизованный пользователь потенциально может использовать ее для загрузки вредоносного кода на сервер, который может быть выполнен с привилегиями системного уровня. Это затрагивает Johnson Controls Kantech EntraPass Corporate Edition версий 8.0 и более ранних; Kantech EntraPass Global Edition версий 8.0 и более ранних.
CVE-2021-36203Уязвимый продукт может позволить злоумышленнику идентифицировать и подделывать запросы к внутренним системам с помощью специально созданного запроса.
CVE-2020-9044В семействе продуктов Metasys Web Services существует уязвимость XXE, которая может способствовать DoS-атакам или сбору файлов ASCII с сервера. Это затрагивает Johnson Controls Metasys Application and Data Server (ADS, ADS-Lite) версий 10.1 и более ранних; Metasys Extended Application and Data Server (ADX) версий 10.1 и более ранних; Metasys Open Data Server (ODS) версий 10.1 и более ранних; Metasys Open Application Server (OAS) версии 10.1; Metasys Network Automation Engine (только NAE55) версий 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6; Metasys Network Integration Engine (NIE55/NIE59) версий 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6; Metasys NAE85 и NIE85 версий 10.1 и более ранних; Metasys LonWorks Control Server (LCS) версий 10.1 и более ранних; Metasys System Configuration Tool (SCT) версий 13.2 и более ранних; Metasys Smoke Control Network Automation Engine (NAE55, UL 864 UUKL/ORD-C100-13 UUKLC 10th Edition Listed) версии 8.1.
CVE-2019-7594Серверы Metasys® ADS/ADX и движки NAE/NIE/NCE до версии 9.0 используют жестко заданный ключ RC2 для определенных операций шифрования с участием Site Management Portal (SMP).
CVE-2019-7593Серверы Metasys® ADS/ADX и движки NAE/NIE/NCE до версии 9.0 используют общую пару ключей RSA для определенных операций шифрования с участием Site Management Portal (SMP).
CVE-2024-32758При определенных обстоятельствах связь между exacqVision Client и exacqVision Server будет использовать недостаточную длину ключа и обмен.
CVE-2026-21658Неаутентифицированное Удаленное Исполнение кода, то есть Неправильное управление генерацией кода («Вдоксальная инъекция») уязвимость в Johnson Controls Frick Controls Quantum HD позволяет впрыскивать код. Недостаточная валидация входа в определенных параметрах может позволить неожиданные действия, которые могут повлиять на безопасность устройства до того, как произойдет аутентификация. Эта проблема затрагивает Frick Controls Quantum HD версии 10.22 и ранее.
CVE-2026-21657Неправильное управление генерацией кода ('Ced Injection') в Johnson Controls Frick Controls Quantum HD позволяет впрышить код. Недостаточность валидации входа в определенных параметрах может позволить неожиданные действия, которые могут повлиять на безопасность устройства до того, как произойдет аутентификация. Эта проблема затрагивает Frick Controls Quantum HD версии 10.22 и предшествующее.
CVE-2026-21656Неправильное управление генерацией кода («Впрыска кода») в Johnson Controls Frick Controls Quantum HD позволяет впрыскировать код. Недостаточная валидация ввода в определенных параметрах может позволить неожиданные действия, которые могут повлиять на безопасность устройства до того, как произойдет аутентификация. Эта проблема затрагивает Frick Controls Quantum HD версии 10.22 и ранее.
CVE-2026-21654Неправильная нейтрализация специальных элементов, используемых в уязвимости команды ОС («O Command Injection») в Johnson Controls Frick Controls Quantum HD, позволяет впрыски командной ОС. Недостаточная валидация входа в определенные параметры может позволить неожиданные действия, которые могут повлиять на безопасность устройства до того, как произойдет аутентификация. Эта проблема затрагивает Frick Controls Quantum HD версии 10.22 и ранее.
CVE-2024-32863При определенных обстоятельствах веб-сервисы exacqVision могут быть подвержены межсайтовой подделке запросов (CSRF).
CVE-2022-21934При определенных обстоятельствах аутентифицированный пользователь может заблокировать других пользователей в системе или захватить их учетные записи на сервере Metasys ADS/ADX/OAS 10 версий до 10.1.5 и на сервере Metasys ADS/ADX/OAS 11 версий до 11.0.2.
CVE-2021-36207При определенных обстоятельствах неправильное управление привилегиями в Metasys ADS/ADX/OAS серверах версий 10 и 11 может позволить аутентифицированному пользователю повысить свои привилегии до администратора.
CVE-2021-36202Уязвимость Server-Side Request Forgery (SSRF) в Johnson Controls Metasys может позволить аутентифицированному злоумышленнику внедрить вредоносный код в функцию экспорта MUI PDF. Эта проблема затрагивает: Johnson Controls Metasys All 10 versions versions prior to 10.1.5; All 11 versions versions prior to 11.0.2.
CVE-2021-27661Успешная эксплуатация этой уязвимости может предоставить аутентифицированному пользователю Facility Explorer SNC Series Supervisory Controller (F4-SNC) непредусмотренный уровень доступа к файловой системе контроллера, позволяя ему получать доступ к системным файлам или изменять их, отправляя специально созданные веб-сообщения на F4-SNC.