美国Johnson Controls公司近日发布安全公告，提醒用户注意其所属公司Tyco Security的Kantech EntraPass安防管理软件存在一个安全漏洞。

Kantech EntraPass安防管理软件中的漏洞编号为CVE-2020-9046。Johnson Controls公司在安全公告中表示该漏洞涉及系统权限，影响Kantech EntraPass软件8.22及之前所有版本，不过EntraPass web Installer并未受到该漏洞的影响。

美国网络安全和基础设施安全局（CISA）也就该漏洞发布了安全公告。根据美国CISA发布的公告信息，该漏洞是个访问控制错误漏洞，CVSS v3评分为8.8。攻击者可通过将重要的文件替换称特殊构造的文件利用该漏洞获取完全的系统级别的权限。攻击者利用该漏洞之前需先取得已获授权的、低权限用户身份。

根据厂商官网的信息，Tyco Security的业务遍及全球175个国家，客户群体包括众多的财富500强企业、全球200强零售企业、全球200万家商务楼宇和数百万家庭以及900多所教育机构。庞大的客户群中使用Kantech EntraPass的用户量不得而知。

厂商在安全公告中建议用户尽快升级到Kantech EntraPass 8.23版本。注册用户可从Kantech的Software Downloads页面下载zip文件，获取重要的软件更新。