Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Fecha de publicación:

19/02/2021

Importancia:

4 - Alta

Recursos afectados:

Metasys Reporting Engine (MRE) Web Services, versiones 2.0 y 2.1.

Descripción:

TIM Security Red Team Research informó de una vulnerabilidad, de severidad alta, que podría permitir a un atacante acceder a archivos o directorios que se encuentran fuera del directorio restringido.

Solución:

Actualizar a la versión 2.2 o posterior.

Detalle:

La validación insuficiente de los elementos de la ruta de acceso podría permitir a un atacante resolver una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2020-9050 para esta vulnerabilidad.

Referencias:

Product Security AdvisoryFebruary 18, 2021: JCI-PSA-2021-02

ICS Advisory (ICSA-21-049-01) Johnson Controls Metasys Reporting Engine (MRE) Web Services

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Múltiples vulnerabilidades en router Robustel R1510

Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Autenticación incorrecta en Exemys RME1

Múltiples vulnerabilidades en Advantech iView

Múltiples vulnerabilidades en Elcomplus SmartICS