Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Fecha de publicación: 
19/02/2021
Importancia: 
4 - Alta
Recursos afectados: 

Metasys Reporting Engine (MRE) Web Services, versiones 2.0 y 2.1.

Descripción: 

TIM Security Red Team Research informó de una vulnerabilidad, de severidad alta, que podría permitir a un atacante acceder a archivos o directorios que se encuentran fuera del directorio restringido.

Solución: 

Actualizar a la versión 2.2 o posterior.

Detalle: 

La validación insuficiente de los elementos de la ruta de acceso podría permitir a un atacante resolver una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2020-9050 para esta vulnerabilidad.

Encuesta valoración