Orchestrator que podrían permitir la realización de ataques de
Cross-Site Scripting y de inyección SQL.
McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una
consola de administración que permite la gestión centralizada de la
seguridad para sistemas, redes, datos y soluciones de cumplimiento de
normativas.
Estos problemas de seguridad afectan a McAfee ePolicy Orchestrator 4.6.6
(y versiones anteriores) y a ePO Extension para McAfee Agent (MA) 4.5 a
4.6.
Se han detectado multiples scripts que no filtran de forma adecuada el
código HTML de las entradas de usuario antes de ser devueltas al
usuario. Esto permite a usuarios remotos generar ataques de cross-site
scripting que podrían permitir la ejecución arbitraria de código script
en el navegador del usuario. Con ello el atacante podría acceder a las
cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar
por la víctima.
Los archivos afectados son los siguientes:
/core/loadDisplayType.do [instanceId parameter]
/console/
/console/
/ComputerMgmt/
/ComputerMgmt/sysDetPanelQry.
/ComputerMgmt/sysDetPanelQry.
/ComputerMgmt/
/ComputerMgmt/
Un segundo problema reside en la posibilidad de realizar ataques de
inyección SQL ciega. Solo usuarios autenticados pueden explotar esta
vulnerabilidad que reside en los siguientes archivos .do:
/core/
/EPOAGENTMETA/
McAfee ha publicado las versiones McAfee Agent 4.8 Extension y McAfee
Agent 4.6 Patch 3 Extension Hotfix para solucionar los problemas de
inyección SQL, disponible en: http://www.mcafee.com/us/
Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que
está planificado para publicar a finales del tercer cuatrimestre del
2013.
No hay comentarios:
Publicar un comentario