CVE-2017-6340 in InterScan Web Security Virtual Appliance
摘要
由 VulDB • 2026-06-19
Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 在 CP 1746 之前版本未对 rest/commonlog/report/template name 字段进行清理,这允许“仅报告”(Reports Only)用户在创建新报表时注入恶意 JavaScript。此外,IWSVA 存在不正确的访问控制实现,使得任何经过身份验证的远程用户(即使是权限较低的用户如“Auditor”)也能创建或修改报表,从而利用此 XSS 漏洞。当受害者访问报表或审计日志页面时,JavaScript 代码将被执行。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.