CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2021-31850 – Denial of Service in Database Security on Windows
https://notcve.org/view.php?id=CVE-2021-31850
A denial-of-service vulnerability in Database Security (DBS) prior to 4.8.4 allows a remote authenticated administrator to trigger a denial-of-service attack against the DBS server. The configuration of Archiving through the User interface incorrectly allowed the creation of directories and files in Windows system directories and other locations where sensitive data could be overwritten. The former could lead to a DoS, whilst the latter could lead to data destruction on the DBS server. Una vulnerabilidad de denegación de servicio en Database Security (DBS) versiones anteriores a 4.8.4, permite a un administrador remoto autenticado desencadenar un ataque de denegación de servicio contra el servidor DBS. La configuración del archivado mediante la interfaz de usuario permitía, de forma incorrecta, la creación de directorios y archivos en los directorios del sistema Windows y en otras ubicaciones en las que podían sobrescribirse datos confidenciales. • https://kc.mcafee.com/corporate/index?page=content&id=SB10358 https://www.zerodayinitiative.com/advisories/ZDI-21-1535 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2021-31830 – Cross site Scripting (XSS) vulnerability in McAfee DBSec
https://notcve.org/view.php?id=CVE-2021-31830
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in McAfee Database Security (DBSec) prior to 4.8.2 allows an administrator to embed JavaScript code when configuring the name of a database to be monitored. This would be triggered when any authorized user logs into the DBSec interface and opens the properties configuration page for this database. Una vulnerabilidad de Neutralización Inapropiada de Entrada durante la Generación de Página Web ("Cross-site Scripting") en McAfee Database Security (DBSec) versiones anteriores a 4.8.2, permite a un administrador insertar código JavaScript cuando se configura el nombre de una base de datos para ser monitoreada. Esto podría ser desencadenado cuando cualquier usuario autorizado inicie sesión en la interfaz de DBSec y abra la página de configuración de propiedades de esta base de datos • https://kc.mcafee.com/corporate/index?page=content&id=SB10359 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-31831 – Incorrect access to deleted scripts vulnerability in McAfee DBSec
https://notcve.org/view.php?id=CVE-2021-31831
Incorrect access to deleted scripts vulnerability in McAfee Database Security (DBSec) prior to 4.8.2 allows a remote authenticated attacker to gain access to signed SQL scripts which have been marked as deleted or expired within the administrative console. This access was only available through the REST API. Una vulnerabilidad de acceso incorrecto a scripts eliminados en McAfee Database Security (DBSec) versiones anteriores a 4.8.2, permite a un atacante remoto autenticado conseguir acceso a scripts SQL firmados que han sido marcados como eliminados o caducados dentro de la consola administrativa. Este acceso solo estaba disponible mediante la API REST • https://kc.mcafee.com/corporate/index?page=content&id=SB10359 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 4.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23896 – Cleartext Transmission of Sensitive Information in McAfee DBSec
https://notcve.org/view.php?id=CVE-2021-23896
Cleartext Transmission of Sensitive Information vulnerability in the administrator interface of McAfee Database Security (DBSec) prior to 4.8.2 allows an administrator to view the unencrypted password of the McAfee Insights Server used to pass data to the Insights Server. This user is restricted to only have access to DBSec data in the Insights Server. Una vulnerabilidad de Information Confidencial de la Transmision de Texto Sin cifrar en la interfaz de administrador de McAfee Database Security (DBSec) versiones anteriores a 4.8.2, permite a un administrador visualizar la contraseña no cifrada del servidor McAfee Insights utilizada para pasar datos al servidor Insights. Este usuario está restringido a tener acceso únicamente a los datos de DBSec en el Insights Server • https://kc.mcafee.com/corporate/index?page=content&id=SB10359 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23895 – Authorized deserialization of untrusted data in McAfee DBSec
https://notcve.org/view.php?id=CVE-2021-23895
Deserialization of untrusted data vulnerability in McAfee Database Security (DBSec) prior to 4.8.2 allows a remote authenticated attacker to create a reverse shell with administrator privileges on the DBSec server via carefully constructed Java serialized object sent to the DBSec server. La vulnerabilidad de deserialización de datos no confiables en McAfee Database Security (DBSec) versiones anteriores a 4.8.2, permite a un atacante remoto autenticado crear un shell inverso con privilegios de administrador en el servidor DBSec por medio de un objeto serializado Java cuidadosamente construido enviado al servidor DBSec • https://kc.mcafee.com/corporate/index?page=content&id=SB10359 • CWE-502: Deserialization of Untrusted Data •