CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/07/2013

Vulnerabilidades en McAfee ePolicy Orchestrator

Se han anunciado diversos problemas de seguridad en McAfee ePolicy Orchestrator que podrían permitir la realización de ataques de Cross-Site Scripting y de inyección SQL.

Riesgo: Medio

McAfee ePolicy Orchestrator, también conocido como McAfee ePO, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.

Se han detectado multiples scripts que no filtran de forma adecuada el código HTML de las entradas de usuario antes de ser devueltas al usuario. Esto permite a usuarios remotos generar ataques de cross-site scripting que podrían permitir la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los archivos afectados son los siguientes:

Un segundo problema reside en la posibilidad de realizar ataques de inyección SQL ciega. Solo usuarios autenticados pueden explotar esta vulnerabilidad que reside en los siguientes archivos .do:

Sistemas Afectados:

McAfee ePolicy Orchestrator 4.6.6 (y versiones anteriores).
ePO Extension para McAfee Agent (MA) 4.5 a 4.6.

Referencias:

None

Solución:

McAfee ha publicado las versiones McAfee Agent 4.8 Extension y McAfee Agent 4.6 Patch 3 Extension Hotfix para solucionar los problemas de inyección SQL, disponible en: http://www.mcafee.com/us/downloads

Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que está planificado para publicar a finales del tercer cuatrimestre del 2013.

Notas:

 Multiple Vulnerabilities in ePO 4.6.6 and earlier
McAfee Security Bulletin – McAfee ePO Extension for McAfee Agent 4.5 and 4.6 Blind SQL Injection Vulnerability
Hispasec una-al-dia

Fuente: Hispasec una-al-día

CSIRT-CV