domingo, 21 de julio de 2013

Vulnerabilidades en McAfee ePolicy Orchestrator

Se han anunciado diversos problemas de seguridad en McAfee ePolicy Orchestrator que podrían permitir la realización de ataques de Cross-Site Scripting y de inyección SQL.


McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.

Estos problemas de seguridad afectan a McAfee ePolicy Orchestrator 4.6.6 (y versiones anteriores) y a ePO Extension para McAfee Agent (MA) 4.5 a 4.6.

Se han detectado multiples scripts que no filtran de forma adecuada el código HTML de las entradas de usuario antes de ser devueltas al usuario. Esto permite a usuarios remotos generar ataques de cross-site scripting que podrían permitir la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los archivos afectados son los siguientes:
    /core/loadDisplayType.do [parámetro instanceId]
    /console/createDashboardContainer.do [parámetro monitorUrl]
    /console/createDashboardContainer.do [parámetro monitorUrl]
    /ComputerMgmt/sysDetPanelBoolPie.do [parámetro uid]
    /ComputerMgmt/sysDetPanelQry.do [parámetro uid]
    /ComputerMgmt/sysDetPanelQry.do [parámetro sysDetPanelQry]
    /ComputerMgmt/sysDetPanelSummary.do [parámetro sysDetPanelSummary]
    /ComputerMgmt/sysDetPanelSummary.do [parámetro uid]

Un segundo problema reside en la posibilidad de realizar ataques de inyección SQL ciega. Solo usuarios autenticados pueden explotar esta vulnerabilidad que reside en los siguientes archivos .do:
/core/showRegisteredTypeDetails.do [parámetro uid]
/EPOAGENTMETA/DisplayMSAPropsDetail.do [parámetro uid]

Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que está planificado para publicar a finales del tercer cuatrimestre del 2013. 

Más información:

Multiple Vulnerabilities in ePO 4.6.6 and earlier

McAfee Security Bulletin – McAfee ePO Extension for McAfee Agent 4.5 and 4.6 Blind SQL Injection Vulnerability



Antonio Ropero
Twitter: @aropero

4 comentarios:

  1. The app may not function appropriately in with Apple id mobdro free app movies totally free. Then, why should you opt.

    ResponderEliminar
  2. ZArchiver pro apk best and most unique application works on files Zip. Here is the apk download link of Zarchiver.
    zarchiver

    ResponderEliminar
  3. SB Game Hacker for android is an game modifying tool which you will find easier than any other game modifying tools.
    sb game hacker

    ResponderEliminar
  4. Thank you for your analysis. Looking forward to reading more of your posts. I hope to give something back and help others like you aided me.
    happy wheels

    ResponderEliminar