漏洞起因
输入验证错误
危险等级
中
影响系统
McAfee Email Gateway 6.7.1
McAfee Email Gateway 7.0
McAfee Email and Web Security Appliance 5.1 Patch 4
McAfee Email and Web Security Appliance 5.1
不受影响系统
McAfee Email Gateway 7.0 Patch 1
McAfee Email and Web Security Appliance 5.6 Patch 3
McAfee Email and Web Security Appliance 5.5 Patch 6
危害
远程攻击者可以利用漏洞获得敏感信息或绕过安全限制,进行跨站脚本和暴力破解攻击。
攻击所需条件
攻击者必须访问McAfee Email Gateway和McAfee Email and Web Security Appliance。
漏洞信息
McAfee Email Gateway是一款电子邮件解决方案。McAfee Email and Web Security Appliance用于智能化的垃圾邮件和恶意软件防护。
McAfee Email Gateway和McAfee Email and Web Security Appliance存在多个安全漏洞,允许恶意用户泄露敏感信息或绕过安全限制,进行跨站脚本和暴力破解攻击。
-部分未明输入在返回用户之前缺少过滤,可导致跨站脚本攻击。
-重置密码功能存在错误,可被利用重置管理员用户密码。
-Dashboard显示活动会话令牌存在错误可被利用劫持其他用户会话。
-系统备份使用弱加密存储密码,可被利用通过暴力破解加密密码。
-部分输入在用于下载文件时缺少校验,可被利用通过目录遍历序列获得本地系统的任意文件。
-存在未明错误可被利用泄露文件内容。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://kc.mcafee.com/corporate/index?page=content&id=SB10020
漏洞提供者
Ben Williams of NGS Secure
评论关闭。