Cross-Site Scripting en McAfee Vulnerability Manager 7.5

cAfee Vulnerability Manager es una herramienta de seguridad que ofrece evaluación de vulnerabilidades, pruebas de penetración, análisis de aplicaciones web y detección de dispositivos no fiables presentes en la red tales como smartphones, tablets, portátiles, e incluso dispositivos ocultos.

La vulnerabilidad que afecta a McAfee Vulnerability Manager se debe a la falta de comprobación de determinados parámetros de entrada en los componentes "Foundstone\Portal\components\vulnset.exp" y "Foundstone\Portal\include\init.inc" antes de ser devueltos al usuario, que podrían conducir a ataques Cross-Site Scripting (XSS). De esta forma un atacante remoto podría ejecutar código HTML y javaScript arbitrario en el navegador del usuario.

Se encuentran afectadas las versiones de McAfee Vulnerability Manager 7.5.x. McAfee ha publicado los siguientes hotfix para corregir el fallo, disponibles para su descarga desde la página oficial:

• MVM 7.5.0: 7_5_0_20011_EM.zip
• MVM 7.5.1: 7_5_1_05006_EM.zip

McAfee también informa que dicho parche estará incluido en la versión 7.5.2 que será lanzada a finales de Marzo.

Más información:

McAfee Vulnerability Manager Hotfixes available to address cross-site scripting vulnerability https://kc.mcafee.com/corporate/index?page=content&id=KB77772

McAfee Download Site http://www.mcafee.com/us/downloads/downloads.aspx