发布日期：2014-03-23
更新日期：2014-03-25

受影响系统：

McAfee Asset Manager 6.6
McAfee Asset Manager

描述：

---

CVE(CAN) ID: CVE-2014-2587

McAfee Asset Manager可发现并评估潜在的安全风险，实时披露网络上所有资产的合规性。

McAfee Asset Manager的/jsp/reports/ReportsAudit.jsp脚本没有正确过滤用户输入，远程攻击者通过'user' POST参数，利用此漏洞可在后端数据库内注入并操纵SQL查询。

<*来源：Brandon Perry
  
  链接：http://www.exploit-db.com/exploits/32368/
        http://www.osvdb.org/104634
*>

建议：

---

厂商补丁：

McAfee
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mcafee.com/us/products/asset-manager.aspx

浏览次数：3153
严重程度：0（网友投票）