Межсайтовый скриптинг и раскрытие информации в McAfee Security Management System

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение, атаку по перебору паролей и повысить свои привилегии в приложении.

1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметрах 'thirdMenuName' и 'resourceName' сценария 'intrushield/intruvert/jsp/systemHealth/SystemEvent.jsp'. Удаленный пользователь может послать специально сформированный запрос и выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

2. Удаленный авторизованный пользователь может установить значение параметра 'fullAccessRight' в true в сценарии 'reports-column-center.jsp' и получить доступ к секции создания отчетов.

3. Удаленный авторизованный пользователь может установить значение параметра 'fullAccess' в true в сценарии 'SystemEvent.jsp' и получить доступ на администрирование сообщений.

4. Удаленный авторизованный пользователь может определить привилегированные учетные записи путем подставления данных в параметр 'userId'.

URL производителя:
http://www.mcafeesecurity.com/us/products/mcafee/network_ips/category.htm

Решение: Способов устранения уязвимости не существует в настоящее время.