CVE-2017-6340 in InterScan Web Security Virtual Applianceinformación

Resumen

por VulDB • 2026-05-15

Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 anterior a CP 1746 no sanitiza un campo de nombre de plantilla de rest/commonlog/report, lo que permite a un usuario con permisos de 'Solo Reportes' inyectar JavaScript malicioso al crear un nuevo informe. Además, IWSVA implementa un control de acceso incorrecto que permite a cualquier usuario remoto autenticado (incluso con privilegios bajos como 'Auditor') crear o modificar informes, aprovechando consecuentemente esta vulnerabilidad XSS. El JavaScript se ejecuta cuando las víctimas visitan las páginas de informes o de registro de auditoría.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservar

2017-02-26

Divulgación

2017-04-05

Moderación

aceptado

Artículo

VDB-99323

CPE

listo

Explotación

Descargar

EPSS

0.02465

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!