McAfee ha publicado una alerta de seguridad para informar de una vulnerabilidad que afecta a su producto Vulnerability Manager. Esta vulnerabilidad podría permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.
McAfee Vulnerability Manager es una herramienta de seguridad que ofrece evaluación de vulnerabilidades, pruebas de penetración, análisis de aplicaciones web y detección de dispositivos no fiables presentes en la red tales como smartphones, tablets, portátiles, e incluso dispositivos ocultos.
La vulnerabilidad que afecta a McAfee Vulnerability Manager se debe a la falta de comprobación de determinados parámetros de entrada en los componentes "Foundstone\Portal\components\vulnset.exp" y "Foundstone\Portal\include\init.inc" antes de ser devueltos al usuario, que podrían conducir a ataques Cross-Site Scripting (XSS). De esta forma un atacante remoto podría ejecutar código HTML y javascript arbitrario en el navegador del usuario.
Se encuentran afectadas las versiones de McAfee Vulnerability Manager 7.5.x. McAfee ha publicado los siguientes hotfix para corregir el fallo, disponibles para su descarga desde la página oficial:
•MVM 7.5.0: 7_5_0_20011_EM.zip
•MVM 7.5.1: 7_5_1_05006_EM.zip
McAfee también informa que dicho parche estará incluido en la versión 7.5.2 que será lanzada a finales de Marzo.
Más información:
McAfee Vulnerability Manager Hotfixes available to address cross-site scripting vulnerability https://kc.mcafee.com/corporate/index?page=content&id=KB77772
McAfee Download Site http://www.mcafee.com/us/downloads/downloads.aspx
FUENTE :http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-en-mcafee-vulnerability-manager-75