CVE-2021-31851

Versões do McAfee Policy Auditor anteriores à 6.5.2

Uma vulnerabilidade de Cross-Site Scripting refletido permite que um invasor remoto não autenticado injete scripts da web ou HTML arbitrários por meio dos parâmetros de solicitação profileNodeID. O script malicioso é refletido sem modificações na interface web do Policy Auditor, o que pode levar à extração do token de sessão do usuário final ou de credenciais de login. Essas informações podem ser usadas para acessar aplicativos críticos de segurança ou realizar solicitações entre domínios arbitrárias.

Para versões anteriores à 6.5.2, atualize para a versão 6.5.2 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro profileNodeID no endpoint da API afetado até que um patch esteja disponível.