漏洞标题
N/A
漏洞描述信息
## 漏洞概述
默认安装的MSDE(Microsoft SQL Server Desktop Engine)在McAfee ePolicy Orchestrator 2.0到3.0版本中存在漏洞,允许攻击者通过一系列步骤执行任意代码。
## 影响版本
McAfee ePolicy Orchestrator 2.0 至 3.0
## 漏洞细节
攻击者可以通过以下步骤执行任意代码:
1. 通过特定请求从ePO服务器的配置文件中获取数据库管理员用户名和加密密码。
2. 由于加密算法较弱,可以破解密码。
3. 使用破解的密码通过xp_cmdshell传递命令。
## 影响
攻击者可以执行任意代码,对系统造成严重威胁,可能导致数据泄露、系统被控制等安全问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The default installation of MSDE via McAfee ePolicy Orchestrator 2.0 through 3.0 allows attackers to execute arbitrary code via a series of steps that (1) obtain the database administrator username and encrypted password in a configuration file from the ePO server using a certain request, (2) crack the password due to weak cryptography, and (3) use the password to pass commands through xp_cmdshell.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
McAfee Security ePolicy Orchestrator MSDE SA帐户信息泄露漏洞
漏洞描述信息
McAfee Security ePolicy Orchestrator是一款企业级反病毒管理工具。ePolicy Orchestrator是策略驱动配置,并包含报告工具。 McAfee ePolicy Orchestrator会泄露Microsoft Data Engine安装的管理员帐户信息,远程攻击者可以利用这个漏洞通过特殊HTTP请求获得这些敏感信息。 通过发送特殊构建的HTTP请求给ePO服务器,服务器会以服务器配置文件的内容进行应答,配置文件包含了MSDE安装的数据库管理员用户名和加密密码。加
CVSS信息
N/A
漏洞类别
其他