CVE-2017-6340 in InterScan Web Security Virtual Appliance
सारांश
द्वारा VulDB • 19/06/2026
Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 CP 1746 से पहले संस्करण में rest/commonlog/report/template नाम फ़ील्ड को सैनिटाइज़ नहीं किया जाता है, जिससे 'Reports Only' उपयोगकर्ता नई रिपोर्ट बनाते समय दुर्भावनापूर्ण JavaScript इंजेक्ट कर सकता है। इसके अलावा, IWSVA में गलत एक्सेस नियंत्रण लागू किया गया है जो किसी भी प्रमाणीकृत, दूरस्थ उपयोगकर्ता (यहाँ तक कि 'Auditor' जैसे कम विशेषताओं वाले) को रिपोर्ट बनाने या संशोधित करने की अनुमति देता है और परिणामस्वरूप इस XSS दोष का फायदा उठा सकता है। जब पीड़िता रिपोर्ट या auditlog पृष्ठों पर जाते हैं, तो JavaScript निष्पादित हो जाती है।
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.