跳至主內容

McAfee Email Gateway / Email 及 Web Security Appliance 多個漏洞

最後更新 2012年03月19日 發佈日期: 2012年03月16日 2408 觀看次數

風險: 中度風險

類型: 保安軟件及應用設備 - 保安軟件及應用設備

類型: 保安軟件及應用設備

在 McAfee Email Gateway / Email 及 Web Security Appliance 發現多個漏洞。遠端使用者可利用漏洞,進行跨網站指令碼攻擊,盜取敏感資料及閱讀目的使用者系統。
 
管理控制台顯示未經正確過濾由使用者提供的資料。遠端使用者可利用漏洞,透過目的使用者瀏覽器執行任意程式碼。該程式碼源自管理介面,並可於該網站的安全情況下執行。因此,該程式碼可存取目的使用者的cookies(包括驗證cookies),及存取目的使用者透過網頁表單遞交到該網站的資料(如有),或偽冒目的使用者在該網站採取行動。

  • 遠端驗證的使用者可重設其他管理員的密碼。
  • 遠端驗證的使用者可透過 Dashboard 獲得有效的會話符記。
  • 使用者可從系統備份獲得密碼雜湊。
  • 遠端驗證的使用者可遞交特製的URL,從目的裝置下載任意檔案。
  • 遠端驗證的使用者可使用root 權限來閱讀任意檔案內容。

影響

  • 跨網站指令碼
  • 權限提升
  • 資料洩露

受影響之系統或技術

  • McAfee Email 及 Web Security Appliance 版本 5.5, 5.6
  • McAfee Email Gateway 版本 7.0

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • McAfee Email 及 Web Security Appliance
    更新至 5.5 修定版 6, 5.6 修定版 3

  • McAfee Email Gateway
    更新至 7.0 修定版 1


漏洞識別碼

  • 暫無 CVE 可提供

資料來源


相關連結