Выполнение произвольных команд в McAfee SaaS Endpoint Protection ActiveX компоненте
| Дата публикации: | 17.01.2012 |
| Всего просмотров: | 1636 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | McAfee SaaS Endpoint Protection 5.x |
| Уязвимые версии: McAfee SaaS Endpoint Protection 5.2.0.603, возможно другие версии.
Описание: Уязвимость существует из-за ошибки при обработке метода MyCioScan.Scan.ShowReport() в библиотеке myCIOScn.dll. Удаленный пользователь может с помощью специально сформированного Web сайта передать уязвимому методу произвольную системную команду и выполнить ее на системе с привилегиями текущего пользователя. URL производителя: www.mcafee.com/us/products/saas-endpoint-protection-suite.aspx Решение: Способов устранения уязвимости не существует в настоящее время. |
|
| Ссылки: | ZDI-12-012: (0Day) McAfee SaaS myCIOScn.dll ShowReport Method Remote Command Execution |