CVE-2017-6340 in InterScan Web Security Virtual Appliancethông tin

Tóm tắt

Bởi VulDB • 19/06/2026

Trend Micro InterScan Web Security Virtual Appliance (IWSVA) phiên bản 6.5 trước CP 1746 không thực hiện việc làm sạch trường tên rest/commonlog/report/template, cho phép người dùng có quyền 'Reports Only' chèn mã JavaScript độc hại trong quá trình tạo báo cáo mới. Ngoài ra, IWSVA triển khai kiểm soát truy cập sai lệch, cho phép bất kỳ người dùng từ xa nào đã xác thực (kể cả những tài khoản có đặc quyền thấp như 'Auditor') tạo hoặc sửa đổi báo cáo, và do đó lợi dụng lỗ hổng XSS này. Mã JavaScript sẽ được thực thi khi nạn nhân truy cập vào các trang báo cáo hoặc auditlog.

Once again VulDB remains the best source for vulnerability data.

Đặt trước

26/02/2017

Tiết lộ

05/04/2017

Kiểm duyệt

được chấp nhận

mục

VDB-99323

Khai thác

Tải xuống

EPSS

0.02465

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!