Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Fecha de publicación:

19/02/2021

Importancia:

4 - Alta

Recursos afectados:

Metasys Reporting Engine (MRE) Web Services, versiones 2.0 y 2.1.

Descripción:

TIM Security Red Team Research informó de una vulnerabilidad, de severidad alta, que podría permitir a un atacante acceder a archivos o directorios que se encuentran fuera del directorio restringido.

Solución:

Actualizar a la versión 2.2 o posterior.

Detalle:

La validación insuficiente de los elementos de la ruta de acceso podría permitir a un atacante resolver una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2020-9050 para esta vulnerabilidad.

Referencias:

Product Security AdvisoryFebruary 18, 2021: JCI-PSA-2021-02

ICS Advisory (ICSA-21-049-01) Johnson Controls Metasys Reporting Engine (MRE) Web Services

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Escalada de privilegios en Dream Report Remote Connector de ODS

Múltiples vulnerabilidades en productos de Hitachi Energy

Acceso no autorizado en Entrapass de Johnson Controls

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance