CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2012-4580
https://notcve.org/view.php?id=CVE-2012-4580
Cross-site scripting (XSS) vulnerability in McAfee Email and Web Security (EWS) 5.x before 5.5 Patch 6 and 5.6 before Patch 3, and McAfee Email Gateway (MEG) 7.0 before Patch 1, allows remote attackers to inject arbitrary web script or HTML via vectors related to the McAfee Security Appliance Management Console/Dashboard. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en McAfee Email and Web Security v5.x (EWS) antes de v5.5 Patch 6 y v5.6 antes de la revisión v3 y McAfee Email Gateway (MEG) v7.0 antes de la revisión v1 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con la consola gestión y cuadro de mandos de McAfee Security Appliance. • https://kc.mcafee.com/corporate/index?page=content&id=SB10020 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 0%CPEs: 4EXPL: 0CVE-2012-4581
https://notcve.org/view.php?id=CVE-2012-4581
McAfee Email and Web Security (EWS) 5.x before 5.5 Patch 6 and 5.6 before Patch 3, and McAfee Email Gateway (MEG) 7.0 before Patch 1, does not disable the server-side session token upon the closing of the Management Console/Dashboard, which makes it easier for remote attackers to hijack sessions by capturing a session cookie and then modifying the response to a login attempt, related to a "Logout Failure" issue. McAfee Email and Web Security v5.x (EWS) antes de v5.5 Patch 6 y v5.6 antes de la revisión 3 y McAfee Email Gateway (MEG) v7.0 antes de la revisión 1 no desactivan el token de sesión en el lado del servidor durante el cierre de la Consola de administración/Cuadro de mandos, lo que hace que sea más fácil, para los atacantes remotos, el secuestrar sesiones mediante la captura de una cookie de sesión y luego modificar la respuesta a un intento de inicio de sesión. Se trata de un problema relacionado con un "Fallo de Salida". • https://kc.mcafee.com/corporate/index?page=content&id=SB10020 • CWE-287: Improper Authentication •
CVSS: 3.5EPSS: 0%CPEs: 4EXPL: 0CVE-2012-4586
https://notcve.org/view.php?id=CVE-2012-4586
McAfee Email and Web Security (EWS) 5.x before 5.5 Patch 6 and 5.6 before Patch 3, and McAfee Email Gateway (MEG) 7.0 before Patch 1, accesses files with the privileges of the root user, which allows remote authenticated users to bypass intended permission settings by requesting a file. McAfee Email and Web Security v5.x (EWS) antes de v5.5 Patch 6 y v5.6 antes de la revisión 3 y McAfee Email Gateway (MEG) v7.0 antes de la revisión 1 accede a los archivos con los privilegios del usuario root, lo que permite a usuarios remotos autenticados se salten los permisos simplemente solicitando un archivo. • https://kc.mcafee.com/corporate/index?page=content&id=SB10020 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2010-2116
https://notcve.org/view.php?id=CVE-2010-2116
The web interface in McAfee Email Gateway (formerly IronMail) 6.7.1 allows remote authenticated users, with only Read privileges, to gain Write privileges to modify configuration via the save action in a direct request to admin/systemWebAdminConfig.do. La interfaz web en McAfee Email Gateway (formerly IronMail) v6.7.1 permite a usuarios autenticados remotamente, sólo con privilegios de lectura, obtener prvilegios de escritura modificando la configuración a través de una acción "save" en una petición directa a admin/systemWebAdminConfig.do. • http://osvdb.org/64832 http://secunia.com/advisories/39881 http://www.cybsec.com/vuln/cybsec_advisory_2010_0501_Ironmail_Advisory_Web_Access_Broken.pdf http://www.securitytracker.com/id?1024018 http://www.vupen.com/english/advisories/2010/1239 • CWE-732: Incorrect Permission Assignment for Critical Resource •