CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-37850 – Denial of service in ESET for Mac products
https://notcve.org/view.php?id=CVE-2021-37850
ESET was made aware of a vulnerability in its consumer and business products for macOS that enables a user logged on to the system to stop the ESET daemon, effectively disabling the protection of the ESET security product until a system reboot. ESET se dio cuenta de una vulnerabilidad en sus productos de consumo y empresariales para macOS que permite a un usuario conectado al sistema detener el demonio de ESET, deshabilitando efectivamente la protección del producto de seguridad de ESET hasta un reinicio del sistema • https://support.eset.com/en/ca8151 •
CVSS: 7.8EPSS: 0%CPEs: 10EXPL: 0CVE-2021-31843 – Improper access control vulnerability in McAfee ENS for Windows
https://notcve.org/view.php?id=CVE-2021-31843
Improper privileges management vulnerability in McAfee Endpoint Security (ENS) Windows prior to 10.7.0 September 2021 Update allows local users to access files which they would otherwise not have access to via manipulating junction links to redirect McAfee folder operations to an unintended location. Una vulnerabilidad de administración de privilegios inapropiada en McAfee Endpoint Security (ENS) Windows versiones anteriores a la actualización 10.7.0 de septiembre de 2021, permite a usuarios locales acceder a archivos a los que no tendrían acceso por medio de la manipulación de enlaces de unión para redirigir las operaciones de carpetas de McAfee a una ubicación no deseada • https://kc.mcafee.com/corporate/index?page=content&id=SB10367 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 5.5EPSS: 0%CPEs: 9EXPL: 0CVE-2021-31842
https://notcve.org/view.php?id=CVE-2021-31842
XML Entity Expansion injection vulnerability in McAfee Endpoint Security (ENS) for Windows prior to 10.7.0 September 2021 Update allows a local user to initiate high CPU and memory consumption resulting in a Denial of Service attack through carefully editing the EPDeploy.xml file and then executing the setup process. Una vulnerabilidad de tipo XML Entity Expansion injection en McAfee Endpoint Security (ENS) para Windows versiones anteriores a la actualización 10.7.0 de septiembre de 2021, permite a un usuario local iniciar un elevado consumo de CPU y memoria resultando en un ataque de denegación de servicio mediante la edición cuidadosa del archivo EPDeploy.xml y la posterior ejecución del proceso de instalación • https://kc.mcafee.com/corporate/index?page=content&id=SB10367 • CWE-776: Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion') •
CVSS: 6.5EPSS: 0%CPEs: 18EXPL: 0CVE-2020-7308 – Transmission of data in clear text by McAfee ENS
https://notcve.org/view.php?id=CVE-2020-7308
Cleartext Transmission of Sensitive Information between McAfee Endpoint Security (ENS) for Windows prior to 10.7.0 February 2021 Update and McAfee Global Threat Intelligence (GTI) servers using DNS allows a remote attacker to view the requests from ENS and responses from GTI over DNS. By gaining control of an intermediate DNS server or altering the network DNS configuration, it is possible for an attacker to intercept requests and send their own responses. Una transmisión de Texto Sin Cifrar de Información Confidencial entre McAfee Endpoint Security (ENS) para Windows anterior a versión 10.7.0 Update de Febrero de 2021 y los servidores de McAfee Global Threat Intelligence (GTI) que usan DNS permite a un atacante remoto visualizar unas peticiones de ENS y unas respuestas de GTI por medio de DNS. Al conseguir el control de un servidor DNS intermedio o alterar la configuración del DNS de la red, es posible a un atacante interceptar peticiones y enviar sus propias respuestas • https://kc.mcafee.com/corporate/index?page=content&id=SB10354 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23881 – Stored Cross Site Scripting in ENS
https://notcve.org/view.php?id=CVE-2021-23881
A stored cross site scripting vulnerability in ePO extension of McAfee Endpoint Security (ENS) prior to 10.7.0 February 2021 Update allows an ENS ePO administrator to add a script to a policy event which will trigger the script to be run through a browser block page when a local non-administrator user triggers the policy. Una vulnerabilidad de tipo cross site scripting almacenado en la extensión ePO de McAfee Endpoint Security (ENS) versiones anteriores a 10.7.0 actualización de Febrero de 2021, permite a un administrador de ePO de ENS agregar un script a un evento de política que desencadenará el script para que sea ejecutado mediante una página de bloqueo del navegador cuando un usuario local que no es administrador activa la política • https://kc.mcafee.com/corporate/index?page=content&id=SB10345 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •