CVE-2017-6340 in InterScan Web Security Virtual Appliance信息

摘要

由 VulDB • 2026-06-19

Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 在 CP 1746 之前版本未对 rest/commonlog/report/template name 字段进行清理,这允许“仅报告”(Reports Only)用户在创建新报表时注入恶意 JavaScript。此外,IWSVA 存在不正确的访问控制实现,使得任何经过身份验证的远程用户(即使是权限较低的用户如“Auditor”)也能创建或修改报表,从而利用此 XSS 漏洞。当受害者访问报表或审计日志页面时,JavaScript 代码将被执行。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

来源

Might our Artificial Intelligence support you?

Check our Alexa App!