Kaltetutako baliabideak:

Metasys ADS/ADX/OAS zerbitzariak, 10 eta 11 bertsioak.

Azalpena:

Johnson Controls-ek jakinarazi du ahultasun bat baliatuz urruneko erasotzaile batek saio token bat erabil lezakeela, saioa ixtean ezabatua izan ez dena.

Konponbidea:

Metasys ADS/ADX/OAS zerbitzariak 10.1.5 edo 11.0.2 bertsioetara eguneratzea, hurrenez hurren.

Xehetasuna:

Metasys ADS/ADX/OAS zerbitzarietan aurkitutako ahultasuna egoera jakin batzuetan gertatzen da, saioa ixtean saio tokena ezabatzen ez denean hain zuzen. Ahultasun horretarako CVE-2021-36205 identifikatzailea erabili da.