McAfee Email Gateway / Email 及 Web Security Appliance 多個漏洞

在 McAfee Email Gateway / Email 及 Web Security Appliance 發現多個漏洞。遠端使用者可利用漏洞，進行跨網站指令碼攻擊，盜取敏感資料及閱讀目的使用者系統。
 
管理控制台顯示未經正確過濾由使用者提供的資料。遠端使用者可利用漏洞，透過目的使用者瀏覽器執行任意程式碼。該程式碼源自管理介面，並可於該網站的安全情況下執行。因此，該程式碼可存取目的使用者的cookies(包括驗證cookies)，及存取目的使用者透過網頁表單遞交到該網站的資料(如有)，或偽冒目的使用者在該網站採取行動。

• 遠端驗證的使用者可重設其他管理員的密碼。
• 遠端驗證的使用者可透過 Dashboard 獲得有效的會話符記。
• 使用者可從系統備份獲得密碼雜湊。
• 遠端驗證的使用者可遞交特製的URL，從目的裝置下載任意檔案。
• 遠端驗證的使用者可使用root 權限來閱讀任意檔案內容。