CH azonosító
CH-7451Angol cím
McAfee Email and Web Security Appliance and Email Gateway Multiple VulnerabilitiesFelfedezés dátuma
2012.08.23.Súlyosság
KözepesÉrintett rendszerek
Email GatewayEmail and Web Securuty Appliance
McAfee
Érintett verziók
McAfee Email and Web Security Appliance 5.x
McAfee Email Gateway 7.x
Összefoglaló
A McAfee Email and Web Security Appliance és Email Gateway sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók bizalmas információkat fedhetnek fel, illetve a támadók megkerülhetnek bizonyos biztonsági szabályokat és cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
- A hitelesítési mechanizmus egy nem részletezett hibája kihasználható adminisztratív jogosultságok megszerzésére.
- A web interfésznek átadott bizonyos bemeneti adat nincs megfelelően ellenőrizve, mielőtt fájlok letöltéséhez felhasználásra kerülne. Ez kihasználható tetszőleges lokális fájlok letöltésére könyvtár bejárásos támadással.
Ez a sérülékenység csak a McAfee Email Gateway 7.x-et érinti. - Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységek a következő termékeket érintik:
- McAfee Email Gateway (MEG) 7.0.0, 7.0.1.
- McAfee Email and Web Security (EWS) 5.6 Patch 3 és korábbi verziók
- McAfee Email and Web Security (EWS) 5.5 Patch 6 és korábbi verziók
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: kc.mcafee.com
CVE-2012-4595 - NVD CVE-2012-4595
CVE-2012-4596 - NVD CVE-2012-4596
CVE-2012-4597 - NVD CVE-2012-4597
SECUNIA 50408
