McAfee ha lanzado una actualización de seguridad que subsana múltiples vulnerabilidades en su producto ePolicy Orchestrator (ePO), que permitirían a un atacante realizar ataques de denegación de servicio (DoS), cross-site scripting (XSS) entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta”, 6 (seis) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2021-34798 de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a que las solicitudes HTTP con un formato incorrecto dirigidas al servidor pueden hacer que el mismo elimine la referencia a un puntero NULL. Un atacante no autenticado podría aprovechar esta vulnerabilidad para provocar denegación de servicio (DoS) en el servidor afectado.
Nota: Apache HTTP Server es una biblioteca de terceros utilizada por ePO.
- CVE-2022-0859 de severidad media, con una puntuación asignada de 6.5. Consiste en una vulnerabilidad en la restauración de la base de datos de ePO, que permitiría a un atacante local apuntar el servidor ePO a un servidor SQL arbitrario durante la restauración del ePO. Para lograr la explotación un atacante precisaría de una sesión en el equipo que aloja el servidor de ePO (restringido a los administradores) y conocer la contraseña del servidor SQL.
- CVE-2022-0857 de severidad media, con una puntuación asignada de 6.1. Consiste en una vulnerabilidad de secuencias de comandos entre sitios, que permitiría a un atacante remoto obtener acceso a la sesión de un administrador de ePO, mediante un “clic” en un enlace especialmente diseñado para realizar ataques de cross-site scripting (XSS) reflejada en McAfee Enterprise ePolicy Orchestrator (ePO).
Para visualizar una lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.
Los productos McAfee afectados son:
- McAfee ePO versión 5.10.13 y anteriores.
Recomendamos instalar la actualización correspondiente provista por McAfee en el siguiente enlace:
Referencias: