CVE-2017-6340 in InterScan Web Security Virtual Appliance
Resumen
por VulDB • 2026-05-15
Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 anterior a CP 1746 no sanitiza un campo de nombre de plantilla de rest/commonlog/report, lo que permite a un usuario con permisos de 'Solo Reportes' inyectar JavaScript malicioso al crear un nuevo informe. Además, IWSVA implementa un control de acceso incorrecto que permite a cualquier usuario remoto autenticado (incluso con privilegios bajos como 'Auditor') crear o modificar informes, aprovechando consecuentemente esta vulnerabilidad XSS. El JavaScript se ejecuta cuando las víctimas visitan las páginas de informes o de registro de auditoría.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.