2018-0636: McAfee ePolicy Orchestrator (ePO): Zwei Schwachstellen ermöglichen einen Directory-Traversal- und einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2018-04-05 12:24)

Neues Advisory

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Microsoft

Beschreibung:

Ein entfernter, einfach authentisierter und hoch privilegierter Angreifer kann mit Hilfe von Windows Alternate Data Streams einen Directory-Traversal-Angriff durchführen und ein entfernter, einfach authentisierter Angreifer kann eine weitere Schwachstelle für einen Reflected Cross-Site-Scripting (XSS)-Angriff ausnutzen.

Der Hersteller informiert über die Schwachstelle in McAfee ePolicy Orchestrator (ePO) 5.3.0, 5.3.1, 5.3.2 und 5.9.0 und hat die Versionen ePO 5.3.3 (EPO533L.zip, veröffentlicht July 26, 2017) und ePO 5.9.1 (EPO591L.zip, veröffentlicht November 30, 2017) als Sicherheitsupdates zur Verfügung gestellt. ePO 5.1.x ist End of Life (EOL). McAfee empfiehlt Nutzern dieser Version ein Upgrade auf 5.3.x oder 5.9.x.

Schwachstellen:

CVE-2018-6659

Schwachstelle in McAfee ePolicy Orchestrator (ePO) ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-6660

Schwachstelle in McAfee ePolicy Orchestrator (ePO) ermöglicht Directory-Traversal-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.