Autorización incorrecta en American Dynamics victor Web Client de Johnson Controls
Fecha de publicación 09/10/2020
Importancia
4 - Alta
Recursos Afectados
American Dynamics victor Web Client, todas las versiones hasta la 5.4.1 inclusive.
[Actualización 07/01/2021]:
Software House C•CURE Web Client: versiones 2.80 y anteriores.
Descripción
Joachim Kerschbaumer reportó al fabricante Johnson Controls una vulnerabilidad, con severidad alta, de tipo autorización incorrecta.
Solución
Actualizar el producto afectado a la versión 5.6.
[Actualización 07/01/2021]:
Actualizar victor Web Client a la versión v5.6;
- C•CURE Web v2.60 y anteriores: actualizar como mínimo a la v2.70 e instalar las actualizaciones oportunas siguientes:
- C•CURE Web v2.70: actualizar con WebClient_c2.70_5.2_Update02;
- C•CURE Web v2.80: actualizar con WebClient_c2.80_v5.4.1_Update04.
disponibles en el centro de descargas.
Detalle
American Dynamics victor Web Client no realiza una verificación de autorización cuando un atacante, con acceso desde una red adyacente, intenta eliminar archivos arbitrarios del sistema. Se ha asignado el identificador CVE-2020-9048 para esta vulnerabilidad.
Listado de referencias
Etiquetas