CVE-2022-0858 – Cross-site scripting vulnerability in ePO
https://notcve.org/view.php?id=CVE-2022-0858
A cross-site scripting (XSS) vulnerability in McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a remote attacker to potentially obtain access to an ePO administrator's session by convincing the attacker to click on a carefully crafted link. This would lead to limited ability to alter some information in ePO due to the area of the User Interface the vulnerability is present in. Una vulnerabilidad de tipo cross-site scripting (XSS) en McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante remoto obtener potencialmente acceso a la sesión de un administrador de ePO al convencer al atacante de que haga clic en un enlace cuidadosamente diseñado. Esto conllevaría a una capacidad limitada para alterar determinada información en ePO debido al área de la interfaz de usuario en la que está presente la vulnerabilidad • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-0859 – ePO database restoration vulnerability
https://notcve.org/view.php?id=CVE-2022-0859
McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a local attacker to point an ePO server to an arbitrary SQL server during the restoration of the ePO server. To achieve this the attacker would have to be logged onto the server hosting the ePO server (restricted to administrators) and to know the SQL server password. McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante local apuntar un servidor ePO a un servidor SQL arbitrario durante la restauración del servidor ePO. Para conseguirlo, el atacante tendría que haber iniciado sesión en el servidor que aloja el servidor de ePO (restringido a administradores) y conocer la contraseña del servidor SQL • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-522: Insufficiently Protected Credentials •
CVE-2022-0857 – ePO Reflected Cross-site scripting vulnerability
https://notcve.org/view.php?id=CVE-2022-0857
A reflected cross-site scripting (XSS) vulnerability in McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a remote attacker to potentially obtain access to an ePO administrator's session by convincing the attacker to click on a carefully crafted link. This would lead to limited access to sensitive information and limited ability to alter some information in ePO due to the area of the User Interface the vulnerability is present in. Una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante remoto obtener potencialmente acceso a la sesión de un administrador de ePO al convencer al atacante de que haga clic en un enlace cuidadosamente diseñado. Esto conllevaría a un acceso limitado a información confidencial y una capacidad limitada para alterar determinada información en ePO debido al área de la interfaz de usuario en la que está presente la vulnerabilidad • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-0842 – ePO blind SQL Injection vulnerability
https://notcve.org/view.php?id=CVE-2022-0842
A blind SQL injection vulnerability in McAfee Enterprise ePolicy Orchestrator (ePO) prior to 5.10 Update 13 allows a remote authenticated attacker to potentially obtain information from the ePO database. The data obtained is dependent on the privileges the attacker has and to obtain sensitive data the attacker would require administrator privileges. Una vulnerabilidad de inyección SQL ciega en McAfee Enterprise ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 13, permite a un atacante remoto autenticado obtener potencialmente información de la base de datos de ePO. Los datos obtenidos dependen de los privilegios que tenga el atacante y para obtener datos confidenciales el atacante requeriría privilegios de administrador • https://kc.mcafee.com/corporate/index?page=content&id=SB10379 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2022-0280 – McAfee Total Protection (MTP) - File Deletion vulnerability
https://notcve.org/view.php?id=CVE-2022-0280
A race condition vulnerability exists in the QuickClean feature of McAfee Total Protection for Windows prior to 16.0.43 that allows a local user to gain privilege elevation and perform an arbitrary file delete. This could lead to sensitive files being deleted and potentially cause denial of service. This attack exploits the way symlinks are created and how the product works with them. Se presenta una vulnerabilidad de condición de carrera en la función QuickClean de McAfee Total Protection para Windows versiones anteriores a 16.0.43, que permite a un usuario local alcanzar una elevación de privilegios y llevar a cabo una eliminación arbitraria de archivos. Esto podría conllevar a una eliminación de archivos confidenciales y causar potencialmente una denegación de servicio. • https://service.mcafee.com/?articleId=TS103271&page=shell&shell=article-view • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •