Vulnerabilidad en el parámetro de petición UID en McAfee Policy Auditor (CVE-2021-31852)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/11/2021
Última modificación:
21/11/2023
Descripción
Una vulnerabilidad de tipo Cross-Site Scripting Reflejado en McAfee Policy Auditor versiones anteriores a 6.5.2, permite a un atacante remoto no autenticado inyectar secuencias de comandos web o HTML arbitrarias por medio del parámetro de petición UID. El script malicioso es reflejado sin modificaciones en la interfaz basada en la web de Policy Auditor, que podría conllevar a una extracción del token de sesión o las credenciales de inicio de sesión del usuario final. Estas pueden ser usadas para acceder a aplicaciones adicionales de seguridad crítica o realizar peticiones arbitrarias entre dominios
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:mcafee:policy_auditor:*:*:*:*:*:*:*:* | 6.5.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página