CH azonosító
CH-10730Angol cím
McAfee Email Gateway / McAfee Email and Web Security Appliance Multiple SQL Injection VulnerabilitiesFelfedezés dátuma
2014.03.12.Súlyosság
AlacsonyÉrintett rendszerek
Email GatewayEmail and Web Securuty Appliance
McAfee
Érintett verziók
McAfee Email and Web Security Appliance 5.x
McAfee Email Gateway 7.x
Összefoglaló
A McAfee Email Gateway és a McAfee Email and Web Security Appliance sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
Az /admin/cgi-bin/rpc/doReport/18-nek, az „events_col”, „event_id”, „reason”, „events_order”, „emailstatus_order”, és „emailstatus_col” JSON kulcson keresztül átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt SQL lekérdezésekben felhasználásra kerülnének. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
A sérülékenységek kihasználása jelentés készítési képességeket igényel.
A következő termék verziók érintettek:
- McAfee Email Gateway 7.0, 7.5 és 7.6.
- McAfee Email and Web Security Appliance 5.6.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: kc.mcafee.com
Egyéb referencia: archives.neohapsis.com
CVE-2013-7092 - NVD CVE-2013-7092
SECUNIA 57372
