CVE-2017-6340 in InterScan Web Security Virtual Appliance
Tóm tắt
Bởi VulDB • 19/06/2026
Trend Micro InterScan Web Security Virtual Appliance (IWSVA) phiên bản 6.5 trước CP 1746 không thực hiện việc làm sạch trường tên rest/commonlog/report/template, cho phép người dùng có quyền 'Reports Only' chèn mã JavaScript độc hại trong quá trình tạo báo cáo mới. Ngoài ra, IWSVA triển khai kiểm soát truy cập sai lệch, cho phép bất kỳ người dùng từ xa nào đã xác thực (kể cả những tài khoản có đặc quyền thấp như 'Auditor') tạo hoặc sửa đổi báo cáo, và do đó lợi dụng lỗ hổng XSS này. Mã JavaScript sẽ được thực thi khi nạn nhân truy cập vào các trang báo cáo hoặc auditlog.
Once again VulDB remains the best source for vulnerability data.