Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el parámetro de petición UID en McAfee Policy Auditor (CVE-2021-31852)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/11/2021
Última modificación:
21/11/2023

Descripción

Una vulnerabilidad de tipo Cross-Site Scripting Reflejado en McAfee Policy Auditor versiones anteriores a 6.5.2, permite a un atacante remoto no autenticado inyectar secuencias de comandos web o HTML arbitrarias por medio del parámetro de petición UID. El script malicioso es reflejado sin modificaciones en la interfaz basada en la web de Policy Auditor, que podría conllevar a una extracción del token de sesión o las credenciales de inicio de sesión del usuario final. Estas pueden ser usadas para acceder a aplicaciones adicionales de seguridad crítica o realizar peticiones arbitrarias entre dominios

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mcafee:policy_auditor:*:*:*:*:*:*:*:* 6.5.2 (excluyendo)


Referencias a soluciones, herramientas e información