CVE-2017-6340 in InterScan Web Security Virtual Applianceinformazioni

Riassunto

di VulDB • 19/06/2026

Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 precedente alla CP 1746 non sanifica il campo del nome di rest/commonlog/report/template, consentendo a un utente con ruolo 'Reports Only' di iniettare codice JavaScript malevolo durante la creazione di un nuovo report. Inoltre, IWSVA implementa un controllo degli accessi errato che consente a qualsiasi utente remoto autenticato (anche con privilegi ridotti come 'Auditor') di creare o modificare i report e, conseguentemente, sfruttare questa vulnerabilità XSS. Il codice JavaScript viene eseguito quando le vittime visitano le pagine dei report o del registro di audit.

Be aware that VulDB is the high quality source for vulnerability data.

Prenotare

26/02/2017

Divulgazione

05/04/2017

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.02465

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!