bdu,nvd
Mcafee
Уязвимости
717
Эксплуатируемые
2
Критический
45
Высокий
255
Топ продуктов
Epolicy Orchestrator89Web Gateway44Endpoint Security37Network Data Loss Prevention31Data Loss Prevention Endpoint30Virusscan Enterprise29Total Protection27Advanced Threat Defense26Agent25Mcafee Agent23Email Gateway20Network Security Manager19Mcafee Virusscan Enterprise18Mcafee Total Protection15Enterprise Security Manager14Gateway13Mcafee Web Gateway13Data Loss Prevention12Scan Engine12Email And Web Security10
Топ уязвимостей
CVE-2016-8027Уязвимость SQL-инъекции в основных службах Intel Security McAfee ePolicy Orchestrator (ePO) 5.3.2 и более ранних версий и 5.1.3 и более ранних версий позволяет злоумышленникам изменять SQL-запрос, что может привести к раскрытию информации в базе данных или олицетворению агента без аутентификации через специально созданный HTTP-запрос POST.
CVE-2012-4599McAfee SmartFilter Administration и SmartFilter Administration Bess Edition до версии 4.2.1.01 не требуют аутентификации для доступа к интерфейсу JBoss Remote Method Invocation (RMI), что позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный WAR-файл.
CVE-2007-2584Переполнение буфера в функции IsOldAppInstalled в ActiveX-элементе управления McSubMgr.McSubMgr Subscription Manager (MCSUBMGR.DLL) в McAfee SecurityCenter до 6.0.25 и 7.x до 7.2.147 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный аргумент.
CVE-2006-5156Переполнение буфера в McAfee ePolicy Orchestrator до 3.5.0.720 и ProtectionPilot до 1.1.1.126 позволяет удаленным злоумышленникам выполнять произвольный код через запрос к /spipe/pkg/ с длинным заголовком source.
CVE-2006-0559Уязвимость формата строки в SMTP-сервере для McAfee WebShield 4.5 MR2 и более ранних версий позволяет удаленным злоумышленникам выполнять произвольный код через строки формата в части имени домена адреса назначения, которые неправильно обрабатываются при создании сообщения об отказе доставки.
CVE-2002-0690Уязвимость формата строки в McAfee Security ePolicy Orchestrator (ePO) 2.5.1 позволяет удаленным злоумышленникам выполнить произвольный код через HTTP GET-запрос с URI, содержащим строки формата.
BDU:2021-05946Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять команды на хосте путем манипулирования обработанным входным потоком данных
CVE-2024-25254В SuperScan v4.1 обнаружено переполнение буфера через параметр Hostname/IP.
CVE-2019-3597Уязвимость обхода аутентификации в McAfee Network Security Manager (NSM) 9.1 < 9.1.7.75.2 и 9.2 < 9.2.7.31 (9.2 Update 2) позволяет неаутентифицированным пользователям получать права администратора из-за неправильной обработки истекших сеансов графического интерфейса.
CVE-2018-6703Use After Free в удаленном ведении журнала (которое отключено по умолчанию) в McAfee McAfee Agent (MA) 5.x до 5.6.0 позволяет удаленным неаутентифицированным злоумышленникам вызывать отказ в обслуживании и, возможно, удаленное выполнение кода через специально созданный HTTP-заголовок, отправленный в службу ведения журнала.
CVE-2018-6667Уязвимость обхода аутентификации в административном пользовательском интерфейсе в McAfee Web Gateway 7.8.1.0 до 7.8.1.5 позволяет удаленным злоумышленникам выполнять произвольный код через Java Management Extensions (JMX).
CVE-2018-10381TunnelBear 3.2.0.6 для Windows страдает от уязвимости повышения привилегий SYSTEM через службу "TunnelBearMaintenance". Эта служба устанавливает конечную точку NetNamedPipe, которая позволяет произвольным установленным приложениям подключаться и вызывать общедоступные методы. Метод "OpenVPNConnect" принимает аргумент списка серверов, который предоставляет злоумышленнику контроль над командной строкой OpenVPN. Злоумышленник может указать плагин динамической библиотеки, который должен запускаться для каждой новой попытки подключения VPN. Этот плагин будет выполнять код в контексте пользователя SYSTEM.
CVE-2017-4053Уязвимость внедрения команд в веб-интерфейсе McAfee Advanced Threat Defense (ATD) 3.10, 3.8, 3.6, 3.4 позволяет удаленным неаутентифицированным пользователям / удаленным злоумышленникам выполнять команду по своему выбору через специально созданный параметр HTTP-запроса.
CVE-2017-4052Уязвимость обхода аутентификации в веб-интерфейсе McAfee Advanced Threat Defense (ATD) 3.10, 3.8, 3.6, 3.4 позволяет удаленным неаутентифицированным пользователям / удаленным злоумышленникам изменять или обновлять любые параметры конфигурации или получать функциональность администратора через специально созданный параметр HTTP-запроса.
CVE-2017-3972Уязвимость, связанная с инфраструктурным следом, в веб-интерфейсе McAfee Network Security Management (NSM) до версии 8.2.7.42.2 позволяет злоумышленникам выполнять произвольный код через баннер сервера, раскрывающий потенциально конфиденциальную или важную для безопасности информацию.
CVE-2017-3962Уязвимость эксплуатации восстановления пароля в механизме аутентификации без использования сертификатов в McAfee Network Security Management (NSM) до 8.2.7.42.2 позволяет злоумышленникам взламывать пароли пользователей через несоленые хеши.
CVE-2017-3936Уязвимость внедрения команд ОС в McAfee ePolicy Orchestrator (ePO) 5.9.0, 5.3.2, 5.3.1, 5.1.3, 5.1.2, 5.1.1 и 5.1.0 позволяет злоумышленникам выполнять произвольные команды ОС с ограниченными привилегиями посредством отсутствия очистки данных, введенных пользователем, перед экспортом в выходной формат CSV.
CVE-2017-3907Уязвимость внедрения кода в расширении ePolicy Orchestrator (ePO) в McAfee Threat Intelligence Exchange (TIE) Server 2.1.0 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный HTML-код, который будет отражен на веб-странице ответа, через неуказанный вектор.
CVE-2017-3897Уязвимость внедрения кода в механизме аутентификации без использования сертификатов в McAfee Live Safe версий до 16.0.3 и McAfee Security Scan Plus (MSS+) версий до 3.11.599.3 позволяет сетевым злоумышленникам выполнять вредоносные файлы через HTTP-ответ бэкэнда.
CVE-2016-4448Уязвимость формата строки в libxml2 до версии 2.9.4 позволяет злоумышленникам оказывать неопределенное воздействие через спецификаторы формата строки в неизвестных векторах.
CVE-2016-0718Expat позволяет контекстно-зависимым злоумышленникам вызывать отказ в обслуживании (сбой) или, возможно, выполнять произвольный код через некорректно сформированный входной документ, который вызывает переполнение буфера.
CVE-2014-9921Уязвимость раскрытия информации в McAfee (теперь Intel Security) Cloud Analysis and Deconstructive Services (CADS) 1.0.0.3x, 1.0.0.4d и более ранних версиях позволяет удаленным неаутентифицированным пользователям просматривать, добавлять и удалять пользователей из-за ошибки конфигурации.
BDU:2021-05506Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем манипулирования обработанным входным потоком данных
BDU:2021-05502Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать и выполнять произвольный код путем манипулирования обработанным входным потоком данных
BDU:2021-05501Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать и выполнять произвольный код с удаленного хоста путем манипулирования обработанным входным потоком данных