Vulnerabilidades en McAfee ePolicy Orchestrator

Publicado el 23 julio 2013 ¬ 11:32 amh.mscComentarios desactivados en Vulnerabilidades en McAfee ePolicy Orchestrator

Se han anunciado diversos problemas de seguridad en McAfee ePolicy Orchestrator que podrían permitir la realización de ataques de Cross-Site Scripting y de inyección SQL.

McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una
consola de administración que permite la gestión centralizada de la
seguridad para sistemas, redes, datos y soluciones de cumplimiento de
normativas.

Estos problemas de seguridad afectan a McAfee ePolicy Orchestrator 4.6.6
(y versiones anteriores) y a ePO Extension para McAfee Agent (MA) 4.5 a
4.6.

Se han detectado multiples scripts que no filtran de forma adecuada el
código HTML de las entradas de usuario antes de ser devueltas al
usuario. Esto permite a usuarios remotos generar ataques de cross-site
scripting que podrían permitir la ejecución arbitraria de código script
en el navegador del usuario. Con ello el atacante podría acceder a las
cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar
por la víctima.

Los archivos afectados son los siguientes:
/core/loadDisplayType.do [instanceId parameter]
/console/createDashboardContainer.do [monitorUrl parameter]
/console/createDashboardContainer.do [monitorUrl parameter]
/ComputerMgmt/sysDetPanelBoolPie.do [uid parameter]
/ComputerMgmt/sysDetPanelQry.do [uid parameter]
/ComputerMgmt/sysDetPanelQry.do [sysDetPanelQry parameter]
/ComputerMgmt/sysDetPanelSummary.do [sysDetPanelSummary parameter]
/ComputerMgmt/sysDetPanelSummary.do [uid parameter]

Un segundo problema reside en la posibilidad de realizar ataques de
inyección SQL ciega. Solo usuarios autenticados pueden explotar esta
vulnerabilidad que reside en los siguientes archivos .do:
/core/showRegisteredTypeDetails.do [parámetro uid]
/EPOAGENTMETA/DisplayMSAPropsDetail.do [parámetro uid]

McAfee ha publicado las versiones McAfee Agent 4.8 Extension y McAfee
Agent 4.6 Patch 3 Extension Hotfix para solucionar los problemas de
inyección SQL, disponible en: http://www.mcafee.com/us/downloads
Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que
está planificado para publicar a finales del tercer cuatrimestre del
2013.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies