CVE-2017-6339 in InterScan Web Security Virtual Applianceالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تُظهر منصة Trend Micro InterScan Web Security Virtual Appliance (IWSVA) الإصدار 6.5 قبل التحديث CP 1746 سوء إدارة لبيانات المفاتيح والشهادات الرقمية معينة. ووفقاً لتوثيق IWSVA، تعمل المنصة افتراضياً كهيئة شهادات خاصة (CA)، وتقوم بتوليد الشهادات الرقمية ديناميكياً وإرسالها إلى متصفحات العملاء لإتمام اتصال آمن عبر بروتوكول HTTPS. كما تتيح للمسؤولين تحميل شهاداتهم الخاصة الموقعة من قبل هيئة شهادة جذرية (Root CA). يمكن لمهاجم يتمتع بصلاحيات منخفضة تنزيل شهادة الـ CA الحالية والمفتاح الخاص المرتبط بها (سواء كانت الافتراضية أو تلك التي قام المسؤولون بتحميلها)، واستخدامهما لفك تشفير حركة مرور HTTPS، مما يؤدي إلى المساس بالسرية. بالإضافة إلى ذلك، يتم تشفير المفتاح الخاص الافتراضي في هذه المنصة باستخدام عبارة مرور ضعيفة جداً. إذا استخدمت المنصة الشهادة والمفتاح الخاصين الافتراضيين المقدمين من Trend Micro، يمكن للمهاجم ببساطة تنزيلهما وفك تشفير المفتاح الخاص باستخدام العبارة الافتراضية/الضعيفة.

Be aware that VulDB is the high quality source for vulnerability data.

حجز

26/02/2017

إفشاء

05/04/2017

الاعتدال

تمت الموافقة

إدخال

VDB-99322

استغلال

تحميل

EPSS

0.04071

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!