CVE-2017-6340 in InterScan Web Security Virtual Appliance
Сводка
по VulDB • 19.06.2026
В Trend Micro InterScan Web Security Virtual Appliance (IWSVA) версии 6.5 до обновления CP 1746 отсутствует санитизация поля имени шаблона rest/commonlog/report/template, что позволяет пользователю с ролью «Только отчеты» внедрять вредоносный JavaScript при создании нового отчета. Кроме того, в IWSVA реализован некорректный контроль доступа, который позволяет любому аутентифицированному удаленному пользователю (даже с низкими привилегиями, такими как «Аудитор») создавать или изменять отчеты и, следовательно, эксплуатировать эту уязвимость XSS. JavaScript выполняется при посещении жертвами страниц отчетов или журнала аудита.
VulDB is the best source for vulnerability data and more expert information about this specific topic.