Page 2 of 84 results (0.007 seconds)

CVSS: 5.5EPSS: 0%CPEs: 14EXPL: 0

CVE-2022-0861 – ePO XML extended entity vulnerability

https://notcve.org/view.php?id=CVE-2022-0861

A XML Extended entity vulnerability in McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a remote administrator attacker to upload a malicious XML file through the extension import functionality. The impact is limited to some access to confidential information and some ability to alter data. Una vulnerabilidad de tipo XML Extended entity en McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10, permite a un atacante administrador remoto cargar un archivo XML malicioso mediante la funcionalidad extension import. El impacto se limita a un determinado acceso a la información confidencial y una determinada capacidad de alterar los datos • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-611: Improper Restriction of XML External Entity Reference •

CVSS: 5.3EPSS: 0%CPEs: 14EXPL: 0

CVE-2022-0862 – ePO password change vulnerability

https://notcve.org/view.php?id=CVE-2022-0862

A lack of password change protection vulnerability in a depreciated API of McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a remote attacker to change the password of a compromised session without knowing the existing user's password. This functionality was removed from the User Interface in ePO 10 and the API has now been disabled. Other protection is in place to reduce the likelihood of this being successful through sending a link to a logged in user. Una vulnerabilidad de falta de protección de cambio de contraseña en una API depreciada de McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante remoto cambiar la contraseña de una sesión comprometida sin conocer la contraseña del usuario existente. Esta funcionalidad fue eliminada de la interfaz de usuario en ePO 10 y la API ha sido deshabilitada. • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-287: Improper Authentication CWE-522: Insufficiently Protected Credentials •

CVSS: 4.7EPSS: 0%CPEs: 14EXPL: 0

CVE-2022-0858 – Cross-site scripting vulnerability in ePO

https://notcve.org/view.php?id=CVE-2022-0858

A cross-site scripting (XSS) vulnerability in McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a remote attacker to potentially obtain access to an ePO administrator's session by convincing the attacker to click on a carefully crafted link. This would lead to limited ability to alter some information in ePO due to the area of the User Interface the vulnerability is present in. Una vulnerabilidad de tipo cross-site scripting (XSS) en McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante remoto obtener potencialmente acceso a la sesión de un administrador de ePO al convencer al atacante de que haga clic en un enlace cuidadosamente diseñado. Esto conllevaría a una capacidad limitada para alterar determinada información en ePO debido al área de la interfaz de usuario en la que está presente la vulnerabilidad • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.7EPSS: 0%CPEs: 14EXPL: 0

CVE-2022-0859 – ePO database restoration vulnerability

https://notcve.org/view.php?id=CVE-2022-0859

McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a local attacker to point an ePO server to an arbitrary SQL server during the restoration of the ePO server. To achieve this the attacker would have to be logged onto the server hosting the ePO server (restricted to administrators) and to know the SQL server password. McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante local apuntar un servidor ePO a un servidor SQL arbitrario durante la restauración del servidor ePO. Para conseguirlo, el atacante tendría que haber iniciado sesión en el servidor que aloja el servidor de ePO (restringido a administradores) y conocer la contraseña del servidor SQL • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-522: Insufficiently Protected Credentials •

CVSS: 6.1EPSS: 0%CPEs: 14EXPL: 0

CVE-2022-0857 – ePO Reflected Cross-site scripting vulnerability

https://notcve.org/view.php?id=CVE-2022-0857

A reflected cross-site scripting (XSS) vulnerability in McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a remote attacker to potentially obtain access to an ePO administrator's session by convincing the attacker to click on a carefully crafted link. This would lead to limited access to sensitive information and limited ability to alter some information in ePO due to the area of the User Interface the vulnerability is present in. Una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante remoto obtener potencialmente acceso a la sesión de un administrador de ePO al convencer al atacante de que haga clic en un enlace cuidadosamente diseñado. Esto conllevaría a un acceso limitado a información confidencial y una capacidad limitada para alterar determinada información en ePO debido al área de la interfaz de usuario en la que está presente la vulnerabilidad • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •