| Produkt | Johnson Controls Inc. PowerG: <=53,02, Johnson Controls Inc. IQHub: wersja: wszystkie/*, Johnson Controls Inc. IQPanel 2: wersja: wszystkie/*, Johnson Controls Inc. IQPanel 2+: wersja: wszystkie/*, Johnson Controls Inc. IQPanel 4: <4.6.1 |
| Numer CVE | CVE-2025-61738 |
| Krytyczność | 5,3/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N |
| Opis | Produkt, którego dotyczy problem, jest podatny na ataki ze względu na transmisję poufnych informacji w postaci jawnego tekstu. Może to umożliwić atakującemu przechwycenie klucza sieciowego i odczytanie lub zapisanie zaszyfrowanych pakietów w sieci PowerG. |
| Numer CVE | CVE-2025-61739 |
| Krytyczność | 7,6/10 |
| CVSS | AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L |
| Opis | Produkt, którego dotyczy problem, jest podatny na ataki ze względu na ponowne użycie nonce, co może umożliwić atakującemu przeprowadzenie ataku typu replay lub odszyfrowanie przechwyconych pakietów. |
| Numer CVE | CVE-2025-26379 |
| Krytyczność | 7,6/10 |
| CVSS | AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L |
| Opis | Produkt, którego dotyczy problem, jest podatny na atak ze względu na słaby generator liczb pseudolosowych. Może to umożliwić atakującemu odczytanie lub wstrzyknięcie zaszyfrowanych pakietów PowerG. |
| Numer CVE | CVE-2025-61740 |
| Krytyczność | 7,6/10 |
| CVSS | AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L |
| Opis | Produkt, którego dotyczy problem, jest podatny na błąd uwierzytelniania, który nie weryfikuje źródła pakietu. Może to umożliwić atakującemu stworzenie sytuacji odmowy usługi lub modyfikację konfiguracji urządzenia. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-02 |
ICS-CERT informuje o nowych podatnościach w produktach firmy Johnson Controls. (P25-456)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny