NVD Vulnerability Detail

CVE-2020-9050

Summary	Path Traversal vulnerability exists in Metasys Reporting Engine (MRE) Web Services which could allow a remote unauthenticated attacker to access and download arbitrary files from the system.
Publication Date	Feb. 20, 2021, 3:15 a.m.
Registration Date	Feb. 20, 2021, 10:01 a.m.
Last Update	Nov. 21, 2024, 2:39 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:johnsoncontrols:metasys_reporting_engine:2.1:::::::*
cpe:2.3:a:johnsoncontrols:metasys_reporting_engine:2.0:::::::*

Related information, measures and tools

No	URL	タグ
1	https://www.johnsoncontrols.com/cyber-solutions/security-advisories	Vendor Advisory
2	https://www.johnsoncontrols.com/cyber-solutions/security-advisories	Vendor Advisory
3	https://www.us-cert.gov/ics/advisories/icsa-21-049-01	Third Party Advisory US Government Resource
4	https://www.us-cert.gov/ics/advisories/icsa-21-049-01	Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

JVN Vulnerability Information

Johnson Controls 製 Metasys Reporting Engine (MRE) Web Services にパストラバーサルの脆弱性

Title	Johnson Controls 製 Metasys Reporting Engine (MRE) Web Services にパストラバーサルの脆弱性
Summary	Johnson Controls 製 Metasys Reporting Engine (MRE) Web Services には、パストラバーサルの脆弱性が存在します。 Johnson Controls 製 Metasys Reporting Engine (MRE) Web Services は、ビルオートメーションシステムである Metasys のアドオンです。当該製品には、パス名の不適切な処理に起因するパストラバーサルの脆弱性 (CWE-22) が存在します。
Possible impacts	遠隔の第三者によって、認証不要でシステムにアクセスされ、任意のファイルを窃取されるおそれがあります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。開発者は Metasys Reporting Engine (MRE) v2.2 以降のバージョンにアップデートすることを推奨しています。
Publication Date	Feb. 19, 2021, midnight
Registration Date	Feb. 22, 2021, 4:19 p.m.
Last Update	Feb. 22, 2021, 4:19 p.m.

Affected System

ジョンソンコントロールズ

Metasys Reporting Engine (MRE) v2.0

Metasys Reporting Engine (MRE) v2.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-9050	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9050

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
Security Advisory
1	JCI-PSA-2021-02	https://www.johnsoncontrols.com/-/media/jci/cyber-solutions/product-security-advisories/2021/jci-psa-2021-02.pdf?la=en&hash=4271313986C47A976C42D7C64060256ABBED6134

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-21-049-01	https://us-cert.cisa.gov/ics/advisories/icsa-21-049-01
JVN
2	JVNVU#99171474	http://jvn.jp/cert/JVNVU99171474

Change Log

No	Changed Details	Date of change
1	[2021年02月22日] 掲載	Feb. 22, 2021, 4:19 p.m.