Межсайтовый скриптинг и раскрытие информации в McAfee Security Management System

Дата публикации:
11.07.2005
Всего просмотров:
1034
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: McAfee Security Management System

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение, атаку по перебору паролей и повысить свои привилегии в приложении.

1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметрах 'thirdMenuName' и 'resourceName' сценария 'intrushield/intruvert/jsp/systemHealth/SystemEvent.jsp'. Удаленный пользователь может послать специально сформированный запрос и выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

2. Удаленный авторизованный пользователь может установить значение параметра 'fullAccessRight' в true в сценарии 'reports-column-center.jsp' и получить доступ к секции создания отчетов.

3. Удаленный авторизованный пользователь может установить значение параметра 'fullAccess' в true в сценарии 'SystemEvent.jsp' и получить доступ на администрирование сообщений.

4. Удаленный авторизованный пользователь может определить привилегированные учетные записи путем подставления данных в параметр 'userId'.

URL производителя:
http://www.mcafeesecurity.com/us/products/mcafee/network_ips/category.htm

Решение: Способов устранения уязвимости не существует в настоящее время.

или введите имя

CAPTCHA