Программа: McAfee Security Management System
Уязвимость позволяет удаленному
пользователю произвести XSS нападение, атаку
по перебору паролей и повысить свои
привилегии в приложении.
1. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
параметрах 'thirdMenuName' и 'resourceName' сценария 'intrushield/intruvert/jsp/systemHealth/SystemEvent.jsp'.
Удаленный пользователь может послать
специально сформированный запрос и
выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.
2. Удаленный авторизованный пользователь
может установить значение параметра 'fullAccessRight'
в true в сценарии 'reports-column-center.jsp' и получить
доступ к секции создания отчетов.
3. Удаленный авторизованный пользователь
может установить значение параметра 'fullAccess'
в true в сценарии 'SystemEvent.jsp' и получить доступ
на администрирование сообщений.
4. Удаленный авторизованный пользователь
может определить привилегированные
учетные записи путем подставления данных в
параметр 'userId'.