DFN-CERT

Advisory-Archiv

2022-0672: McAfee ePolicy Orchestrator: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2022-03-24 12:19)
Neues Advisory

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen XML-External-Entity (XXE)-Angriff, zwei Cross-Site-Scripting (XSS)-Angriffe und Denial-of-Service (DoS)-Angriffe durchzuführen, wodurch er in der Folge auch Dateien manipulieren sowie Informationen ausspähen kann. Ein Angreifer kann weiterhin zwei Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller McAfee informiert über die Schwachstellen in McAfee ePolicy Orchestrator Version 5.10 und stellt die Version 5.10 Update 13 als Sicherheitsupdate zur Verfügung. Die verwendete Drittanbieter-Software Apache HTTP Server wird damit auf Version 2.4.38, Tomcat auf Version 9.0.52 und Java auf das Januar 2022 Update gebracht.

Schwachstellen:

CVE-2020-13938

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2021-34798

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2021-42340

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2022-0842

Schwachstelle in McAfee ePolicy Orchestrator ermöglicht Ausspähen von Informationen

CVE-2022-0857

Schwachstelle in McAfee ePolicy Orchestrator ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-0858

Schwachstelle in McAfee ePolicy Orchestrator ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-0859

Schwachstelle in McAfee ePolicy Orchestrator ermöglicht Privilegieneskalation

CVE-2022-0861

Schwachstelle in McAfee ePolicy Orchestrator ermöglicht XML-External-Entity-Angriff

CVE-2022-0862

Schwachstelle in McAfee ePolicy Orchestrator ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.