McAfee ePolicy Orchestrator 5.3.0/5.3.1/5.3.2/5.9.0 Reflected 跨站脚本攻击

CVE编号

CVE-2018-6659

利用情况

暂无

补丁情况

N/A

披露时间

2018-04-03
漏洞描述
McAfee ePolicy Orchestrator(ePO)是一种业界领先的系统安全管理解决方案,能够帮助企业有效抵御各种恶意威胁和攻击。

McAfee ePolicy Orchestrator 5.9,5.3.2,5.3.1,5.3.0版本存在目录遍历和跨站脚本漏洞,可使攻击者在用户浏览器中执行任意脚本代码,查看任意本地文件及目录。
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mcafee.com/
https://kc.mcafee.com/corporate/index?page=content&id=SB10228
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/SECURITY_BULLETIN/10000/SB10228/en_US/SB10228_ePO_update_fixes_XSS_and_Directory_Traversal_issues.pdf
参考链接
http://www.securityfocus.com/bid/103392
http://www.securitytracker.com/id/1040884
https://kc.mcafee.com/corporate/index?page=content&id=SB10228
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 mcafee epolicy_orchestrator 5.3.0 -
运行在以下环境
应用 mcafee epolicy_orchestrator 5.3.1 -
运行在以下环境
应用 mcafee epolicy_orchestrator 5.3.2 -
运行在以下环境
应用 mcafee epolicy_orchestrator 5.9.0 -
CVSS3评分
5.4
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    已更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
CWE-ID 漏洞类型
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
阿里云安全产品覆盖情况