Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/07/2013
McAfee ePolicy Orchestrator, también conocido como McAfee ePO, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.
Se han detectado multiples scripts que no filtran de forma adecuada el código HTML de las entradas de usuario antes de ser devueltas al usuario. Esto permite a usuarios remotos generar ataques de cross-site scripting que podrían permitir la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Los archivos afectados son los siguientes:
Un segundo problema reside en la posibilidad de realizar ataques de inyección SQL ciega. Solo usuarios autenticados pueden explotar esta vulnerabilidad que reside en los siguientes archivos .do:
McAfee ePolicy Orchestrator 4.6.6 (y versiones anteriores).
ePO Extension para McAfee Agent (MA) 4.5 a 4.6.
None
Solución:McAfee ha publicado las versiones McAfee Agent 4.8 Extension y McAfee Agent 4.6 Patch 3 Extension Hotfix para solucionar los problemas de inyección SQL, disponible en: http://www.mcafee.com/us/downloads
Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que está planificado para publicar a finales del tercer cuatrimestre del 2013.
Notas: Multiple Vulnerabilities in ePO 4.6.6 and earlier
McAfee Security Bulletin – McAfee ePO Extension for McAfee Agent 4.5 and 4.6 Blind SQL Injection Vulnerability
Hispasec una-al-dia