发布日期：2014-03-23
更新日期：2014-03-25

受影响系统：

McAfee Asset Manager

描述：

---

CVE(CAN) ID: CVE-2014-2588

McAfee Asset Manager可发现并评估潜在的安全风险，实时披露网络上所有资产的合规性。

McAfee Asset Manager的/servlet/downloadReport脚本没有正确过滤用户输入，远程攻击者通过'reportFileName' GET参数，利用此漏洞可执行路径遍历，获取任意文件内容。

<*来源：Brandon Perry
  
  链接：http://www.osvdb.org/104633
        http://www.exploit-db.com/exploits/32368/
*>

建议：

---

厂商补丁：

McAfee
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mcafee.com/us/products/asset-manager.aspx

浏览次数：2357
严重程度：0（网友投票）