La compañía de seguridad McAfee ha publicado una alerta de seguridad para informar de una vulnerabilidad que afecta a su producto Vulnerability Manager. Este problema podría permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.

La herramienta de seguridad McAfee Vulnerability Manager ofrece evaluación de vulnerabilidades, pruebas de penetración, análisis de aplicaciones web y detección de dispositivos no fiables presentes en la red tales como smartphones, tablets, portátiles, e incluso dispositivos ocultos. 

 
La vulnerabilidad que afecta a McAfee Vulnerability Manager se debe a la falta de comprobación de determinados parámetros de entrada en los componentes "FoundstonePortalcomponentsvulnset.exp" y "FoundstonePortalincludeinit.inc" antes de ser devueltos al usuario, que podrían conducir a ataques Cross-Site Scripting (XSS). De esta forma un atacante remoto podría ejecutar código HTML y javaScript arbitrario en el navegador del usuario. 
 
Se encuentran afectadas las versiones de McAfee Vulnerability Manager 7.5.x. McAfee ha publicado los siguientes hotfix para corregir el fallo, disponibles para su descarga desde la página oficial: 
 
* MVM 7.5.0: 7_5_0_20011_EM.zip
* MVM 7.5.1: 7_5_1_05006_EM.zip 
 
McAfee también informa que dicho parche estará incluido en la versión 7.5.2 que será lanzada a finales de Marzo. 
 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/03/cross-site-scripting-en-mcafee.html#comments
 
Más información:
 
McAfee Vulnerability Manager Hotfixes available to address cross-site scripting vulnerability
https://kc.mcafee.com/corporate/index?page=content&id=KB77772
 
McAfee Download Site
http://www.mcafee.com/us/downloads/downloads.aspx