Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Fecha de publicación 19/02/2021

Importancia

4 - Alta

Recursos Afectados

Metasys Reporting Engine (MRE) Web Services, versiones 2.0 y 2.1.

Descripción

TIM Security Red Team Research informó de una vulnerabilidad, de severidad alta, que podría permitir a un atacante acceder a archivos o directorios que se encuentran fuera del directorio restringido.

Solución

Actualizar a la versión 2.2 o posterior.

Detalle

La validación insuficiente de los elementos de la ruta de acceso podría permitir a un atacante resolver una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2020-9050 para esta vulnerabilidad.

Listado de referencias

Product Security AdvisoryFebruary 18, 2021: JCI-PSA-2021-02

ICS Advisory (ICSA-21-049-01) Johnson Controls Metasys Reporting Engine (MRE) Web Services

Etiquetas

Actualización
Vulnerabilidad