McAfee ePolicy Orchestrator < 4.6.7 HF940148 XML 實體插入 (SB10065)

medium Nessus Plugin ID 72729

Synopsis

遠端主機受到一個 XML 實體插入弱點影響。

描述

遠端 Windows 主機上執行的 McAfee ePolicy Orchestrator (ePO) 是 4.6.7 Hotfix 940148 之前的版本。因此,會受到一個因未正確清理使用者提供的輸入而導致的 XML 實體插入弱點影響。具有新增儀表板權限且經過驗證的遠端攻擊者可利用此弱點,存取任意伺服器端系統檔案。

解決方案

升級至 McAfee ePO 4.6.7 hotfix 940148 版或更新版本。

另請參閱

http://www.nessus.org/u?c8b4a72e

https://kc.mcafee.com/corporate/index?page=content&id=SB10065

Plugin 詳細資訊

嚴重性: Medium

ID: 72729

檔案名稱: mcafee_epo_sb10065.nasl

版本: 1.10

類型: local

代理程式: windows

系列: Windows

已發布: 2014/2/27

已更新: 2018/7/16

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 6.3

時間分數: 4.7

媒介: AV:N/AC:M/Au:S/C:C/I:N/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS v3

風險因素: Medium

基本分數: 6.5

時間分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:mcafee:epolicy_orchestrator

必要的 KB 項目: SMB/mcafee_epo/Path, SMB/mcafee_epo/ver

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/2/24

弱點發布日期: 2014/2/24

參考資訊

CVE: CVE-2014-2205

BID: 65771

MCAFEE-SB: SB10065