CVE-2020-7318

**Nome do software vulnerável e versões afetadas:

Versões do McAfee ePolicy Orchestrator anteriores à 5.10.9 Update 9

Descrição:

A vulnerabilidade permite que administradores injetem scripts da Web ou HTML arbitrários por meio de vários parâmetros, nos quais as entradas do administrador não foram devidamente sanitizadas. Isso pode levar a um ataque de Cross-Site Scripting. A vulnerabilidade está relacionada à falta de proteção da estrutura da página da web, que pode ser explorada por um invasor remoto para realizar um ataque de Cross-Site Scripting.

Recomendações:

Para versões anteriores à 5.10.9 Update 9, atualize para a versão 5.10.9 Update 9 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro syncPointList para minimizar o risco de exploração.

Evite usar o parâmetro syncPointList no endpoint da API afetado até que o problema seja resolvido.

Restrinja o acesso ao endpoint /PolicyMgmt/policyDetailsCard.do para minimizar o risco de exploração.