描述:
McAfee 發布了一個安全公告以應對於 Windows McAfee Agent 中的多個漏洞。通過認證的攻擊者可以在代理中插入任意程式碼,從而攻擊漏洞。
有報告指 Windows McAfee Agent 中的一個插入指令碼漏洞 (CVE-2021-31854) 及一個權限提升漏洞 (CVE-2022-0166) 正處於被攻擊的高風險。用戶應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
受影響的系統:
- McAfee Agent (Windows) 5.7.5 之前的版本
影響:
成功利用這些漏洞可以在受影響的系統導致執行任意程式碼及權限提升。
建議:
McAfee 已發行了有關產品的新版本以應對以上問題。受影響系統的系統管理員應遵從建議,立即採取行動以降低風險。
進一步資訊:
- https://kc.mcafee.com/corporate/index?page=content&id=SB10378
- https://www.cisa.gov/uscert/ncas/current-activity/2022/01/21/mcafee-releases-security-update-mcafee-agent-windows
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31854
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0166