CVSS: 6.5EPSS: 2%CPEs: 2EXPL: 1CVE-2018-6671 – SB10240 - ePolicy Orchestrator (ePO) - Application Protection Bypass vulnerability
https://notcve.org/view.php?id=CVE-2018-6671
Application Protection Bypass vulnerability in McAfee ePolicy Orchestrator (ePO) 5.3.0 through 5.3.3 and 5.9.0 through 5.9.1 allows remote authenticated users to bypass localhost only access security protection for some ePO features via a specially crafted HTTP request. Vulnerabilidad de omisión de la protección de la aplicación en McAfee ePolicy Orchestrator (ePO) desde la versión 5.3.0 hasta la 5.3.3 y desde la versión 5.9.0 hasta la 5.9.1 permite que usuarios remotos autenticados omitan la protección de seguridad de acceso "solo localhost" para algunas características ePO mediante una petición HTTP especialmente manipulada. McAfee ePO version 5.9.1 suffers from a local access bypass vulnerability. • https://www.exploit-db.com/exploits/46518 http://www.securityfocus.com/bid/104485 http://www.securitytracker.com/id/1041155 https://kc.mcafee.com/corporate/index?page=content&id=SB10240 •
CVSS: 9.8EPSS: 0%CPEs: 7EXPL: 0CVE-2017-3936 – McAfee ePolicy Orchestrator (ePO) - OS Command Injection vulnerability
https://notcve.org/view.php?id=CVE-2017-3936
OS Command Injection vulnerability in McAfee ePolicy Orchestrator (ePO) 5.9.0, 5.3.2, 5.3.1, 5.1.3, 5.1.2, 5.1.1, and 5.1.0 allows attackers to run arbitrary OS commands with limited privileges via not sanitizing the user input data before exporting it into a CSV format output. Vulnerabilidad de inyección de comandos del sistema operativo en McAfee ePolicy Orchestrator (ePO) 5.9.0, 5.3.2, 5.3.1, 5.1.3, 5.1.2, 5.1.1 y 5.1.0 permite que los atacantes ejecuten comandos del sistema operativo con privilegios limitados al no sanear los datos de entrada del usuario antes de exportarlos a formato CSV. • http://www.securityfocus.com/bid/103155 https://kc.mcafee.com/corporate/index?page=content&id=SB10227 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2018-6659 – SB10228 ePO Reflected Cross-Site Scripting vulnerability
https://notcve.org/view.php?id=CVE-2018-6659
Reflected Cross-Site Scripting vulnerability in McAfee ePolicy Orchestrator (ePO) 5.3.2, 5.3.1, 5.3.0 and 5.9.0 allows remote authenticated users to exploit an XSS issue via not sanitizing the user input. Vulnerabilidad Cross-Site Scripting (XSS) reflejado en McAfee ePolicy Orchestrator (ePO) 5.3.2, 5.3.1, 5.3.0 y 5.9.0 permite que los usuarios autenticados remotos exploten una vulnerabilidad Cross-Site Scripting (XSS) al no sanear las entradas realizadas por un usuario. • http://www.securityfocus.com/bid/103392 http://www.securitytracker.com/id/1040884 https://kc.mcafee.com/corporate/index?page=content&id=SB10228 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.2EPSS: 0%CPEs: 4EXPL: 0CVE-2018-6660 – SB10228 ePO Directory Traversal vulnerability
https://notcve.org/view.php?id=CVE-2018-6660
Directory Traversal vulnerability in McAfee ePolicy Orchestrator (ePO) 5.3.2, 5.3.1, 5.3.0 and 5.9.0 allows administrators to use Windows alternate data streams, which could be used to bypass the file extensions, via not properly validating the path when exporting a particular XML file. Vulnerabilidad de salto de directorio en McAfee ePolicy Orchestrator (ePO) 5.3.2, 5.3.1, 5.3.0 y 5.9.0 permite que los administradores utilicen flujos de datos de Windows alternativos. Esto se podría usar para omitir las extensiones de archivo mediante una validación incorrecta de la ruta cuando se exporta un archivo XML específico. • http://www.securityfocus.com/bid/103392 http://www.securitytracker.com/id/1040884 https://kc.mcafee.com/corporate/index?page=content&id=SB10228 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2017-3980
https://notcve.org/view.php?id=CVE-2017-3980
A directory traversal vulnerability in the ePO Extension in McAfee ePolicy Orchestrator (ePO) 5.9.0, 5.3.2, and 5.1.3 and earlier allows remote authenticated users to execute a command of their choice via an authenticated ePO session. Una vulnerabilidad de salto de directorio en la Extensión ePO en McAfee ePolicy Orchestrator (ePO) versiones 5.9.0, 5.3.2 y 5.1.3 y anteriores permite a los usuarios autenticados remotos ejecutar un comando de su elección por medio de una sesión de ePO autenticada. • http://www.securityfocus.com/bid/98559 https://kc.mcafee.com/corporate/index?page=content&id=SB10196 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •