Vulnerabilidad en myCIOScn ActiveX control (CVE-2011-3007)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
10/08/2011
Última modificación:
11/04/2025
Descripción
El myCIOScn control ActiveX (myCIOScn.dll) en McAfee Endpoint SaaS Protection v5.2.1 y anteriores, permite a atacantes remotos escribir en archivos arbitrarios especificando un nombre de archivo arbitrario en el parámetro MyCioScan.Scan.ReportFile, como se ha demostrado mediante la inyección de secuencias de comandos en un archivo de registro y la ejecución de código arbitrario usando el método de MyCioScan.Scan.Start.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mcafee:saas_endpoint_protection:*:*:*:*:*:*:*:* | 5.2.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://dvlabs.tippingpoint.com/advisory/TPTI-11-13
- http://osvdb.org/74513
- https://exchange.xforce.ibmcloud.com/vulnerabilities/69093
- https://kc.mcafee.com/corporate/index?page=content&id=SB10016
- http://dvlabs.tippingpoint.com/advisory/TPTI-11-13
- http://osvdb.org/74513
- https://exchange.xforce.ibmcloud.com/vulnerabilities/69093
- https://kc.mcafee.com/corporate/index?page=content&id=SB10016