Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Metasys Reporting Engine (MRE) Web Services de Johnson Controls

Fecha de publicación 19/02/2021
Importancia
4 - Alta
Recursos Afectados

Metasys Reporting Engine (MRE) Web Services, versiones 2.0 y 2.1.

Descripción

TIM Security Red Team Research informó de una vulnerabilidad, de severidad alta, que podría permitir a un atacante acceder a archivos o directorios que se encuentran fuera del directorio restringido.

Solución

Actualizar a la versión 2.2 o posterior.

Detalle

La validación insuficiente de los elementos de la ruta de acceso podría permitir a un atacante resolver una ubicación que está fuera del directorio restringido (path traversal). Se ha asignado el identificador CVE-2020-9050 para esta vulnerabilidad.

Encuesta valoración