中危 McAfee Data Loss Protection(DLP)ePO Extension SQL注入漏洞(CVE-2021-4088)
CVE编号
CVE-2021-4088利用情况
暂无补丁情况
官方补丁披露时间
2022-01-25漏洞描述
McAfee Data Loss Protection是McAfee公司开发的全面数据丢失防护套件,其中包含4个不同的数据丢失防护(DLP)工具,可部署在硬件和虚拟设备中。 McAfee Data Loss Protection(DLP)ePO Extension 11.8.100之前版本、11.7.101之前版本和11.6.401版本存在SQL注入漏洞。经过身份认证的远程攻击者可利用该漏洞向ePO数据库的DLP部分注入未过滤的SQL,进而在ePO服务器上以更高权限执行远程代码。 受影响系统: McAfee McAfee Data Loss Protection(DLP)ePO Extension < 11.8.100 McAfee McAfee Data Loss Protection(DLP)ePO Extension < 11.7.101 McAfee McAfee Data Loss Protection(DLP)ePO Extension 11.6.401解决建议
McAfee已经为此发布了一个安全公告(SB10376)以及相应补丁:链接:https://kc.mcafee.com/corporate/index?page=content&id=SB10376
参考链接 |
|
|---|---|
| https://kc.mcafee.com/corporate/index?page=content&id=SB10376 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | mcafee | data_loss_prevention | * | From (including) 11.7.0 | Up to (excluding) 11.7.101 | ||||
| 运行在以下环境 | |||||||||
| 应用 | mcafee | data_loss_prevention | * | From (including) 11.8.0 | Up to (excluding) 11.8.100 | ||||
| 运行在以下环境 | |||||||||
| 应用 | mcafee | data_loss_prevention | 11.6.401 | - | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-89 | SQL命令中使用的特殊元素转义处理不恰当(SQL注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论