Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Fecha de publicación:

19/02/2021

Importancia:

4 - Alta

Recursos afectados:

Metasys Reporting Engine (MRE) Web Services, versiones 2.0 y 2.1.

Descripción:

TIM Security Red Team Research informó de una vulnerabilidad, de severidad alta, que podría permitir a un atacante acceder a archivos o directorios que se encuentran fuera del directorio restringido.

Solución:

Actualizar a la versión 2.2 o posterior.

Detalle:

La validación insuficiente de los elementos de la ruta de acceso podría permitir a un atacante resolver una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2020-9050 para esta vulnerabilidad.

Referencias:

Product Security AdvisoryFebruary 18, 2021: JCI-PSA-2021-02

ICS Advisory (ICSA-21-049-01) Johnson Controls Metasys Reporting Engine (MRE) Web Services

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Escritura fuera de límites en múltiples productos de Dräger

Vulnerabilidad de canal lateral en múltiples productos Bosch

Múltiples vulnerabilidades en Ellipse EAM de Hitachi ABB Power Grids

Validación de entrada incorrecta en múltiples productos de Rockwell Automation

Vulnerabilidad en fdtContainer afecta a múltiples productos de ENDRESS+HAUSER