Escenario: publicserver.com es una aplicación web de acceso público, que no filtra la entrada, lo que permite que los ataques de javascript / XSS se almacenen en la base de datos.
privateserver.lan solo es accesible desde el interior de un firewall, en una LAN privada, y no es accesible desde internet. Tiene una audiencia limitada. privateserver.lan lee datos de la base de datos de servidores de acceso público (publicserver.com) y no filtra correctamente la salida, lo que permite el almacenamiento de XSS.
Salvo los ataques intencionales de usuarios con acceso directo a privateserver.lan, ¿cuáles son los riesgos XSS para los datos en privateserver.lan y para los usuarios de privateserver.lan, teniendo en cuenta que los usuarios externos no pueden obtener acceso? ¿A este servidor a través del firewall?
Además, para que quede claro, esto es algo que estaremos arreglando, solo estoy tratando de evaluar el riesgo para determinar la prioridad de la solución.