McAfee Endpoint Security for Windows 10.6.1 / 10.7.0 2020 年 9 月更新 < 10.6.1 / 10.7.1 2020 年 11 月更新多個弱點 (SB10335)
high Nessus Plugin ID 143116
語系:
概要
遠端主機受到多個弱點影響。說明
遠端 Windows 主機上安裝的 McAfee Endpoint Security (ENS) for Windows 版本受到多個弱點影響,如下所示:- 在 McAfee Endpoint Security (ENS) 10.7.0 2020 年 11 月更新之前的版本中,防火牆 ePO 延伸模組中存在跨網站指令碼弱點,系統管理員可利用此弱點,透過組態精靈插入任意 Web 指令碼或 HTML。(CVE-2020-7333)
- 在 McAfee Endpoint Security (ENS) 10.7.0 2020 年 11 月更新之前的版本中,防火牆 ePO 延伸模組中存在跨網站要求偽造弱點,由於安全性組態不正確,攻擊者可利用此弱點執行任意 HTML 指令碼。(CVE-2020-7332)
- McAfee Endpoint Security (ENS) 10.7.0 2020 年 11 月更新之前的版本中存在不具引號服務可執行檔路徑,本機使用者可藉此透過特別建構和命名的可執行檔,造成拒絕服務和惡意檔案執行。(CVE-2020-7331)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
套用 10.7.0 或 10.6.1 2020 年 11 月更新版或更新版本。另請參閱
https://kc.mcafee.com/corporate/index?page=content&id=SB10335
Plugin 詳細資訊
嚴重性: High
ID: 143116
檔案名稱: mcafee_ens_SB10335.nasl
版本: 1.4
類型: local
代理程式: windows
系列: Windows
已發布: 2020/11/19
已更新: 2021/6/3
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2020-7332
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:mcafee:endpoint_security
必要的 KB 項目: SMB/Registry/Enumerated, installed_sw/McAfee Endpoint Security Platform
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2020/11/10
弱點發布日期: 2020/11/10
參考資訊
CVE: CVE-2020-7331, CVE-2020-7332, CVE-2020-7333
IAVA: 2020-A-0536-S
MCAFEE-SB: SB10335