Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Inyección SQL ciega en McAfee ePolicy Orchestrator

Inyección SQL ciega en McAfee ePolicy Orchestrator

Por Deja un comentario

Intel Security ha confirmado una vulnerabilidad en ePolicy Orchestrator que podría permitir la realización de ataques de inyección SQL ciega.
 
McAfee ePolicy Orchestrator, también conocido como ePO, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.
El problema, con CVE-2016-8027, puede permitir la realización de ataques de inyección SQL ciega mediante peticiones HTTP post específicamente manipuladas. El atacante podrá obtener información de la base de datos o la suplantación de un agente sin autenticación.
Este problema afecta a versiones ePolicy Orchestrator 5.1.3 (y versiones anteriores) y a ePO 5.3.2 (y versiones anteriores).
McAfee ha publicado parches para las versiones ePO 5.1.3, 5.3.1 y 5.3.2 que solucionan el problema y se encuentran disponibles desde:
http://www.mcafee.com/us/downloads/downloads.aspx
Para ePO 5.1.3: EPO513HF1167014.zip
Para ePO 5.3.1: EPO531HF1179709.zip
Para ePO 5.3.2: EPO532HF1167013.zip
Versiones anteriores deberán actualizarse a las indicadas.
Más información:
McAfee Security Bulletin – ePO update fixes an XML Entity Injection and Metasploit Credential vulnerability
https://kc.mcafee.com/corporate/index?page=content&id=SB10095
Inyección SQL Ciega
https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL_Ciega
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.