Oracle 不打算修复 iPlanet Web Server 中的两个网页敏感信息泄漏和注入漏洞CVE-2020-9315 和 CVE-2020-9314。它们存在于已到达生命周期且也不再受支持的 iPlanet 7 的管理面板中。
第一个漏洞 (CVE-2020-9315) 可导致在未认证情况下在管理面板中获得对任意网页的只读权限。Nightwatch 安全团队发布文章指出,“这可导致服务器配置信息的敏感数据遭暴露,包括加密密钥、Java 虚拟机 (JVM) 配置数据和其它数据等。我们并未测试该漏洞是否可导致在面板内进行修改。”攻击者可以替换管理面板中任意页面的 URL。第二个漏洞 (CVE-2020-9314) 源自控制面板中的 “productNameSrc” 参数,“但和 ‘productNameHeight’和 ‘productNameWidth’ 参数结合使用时,可导致将外部图像注入网站从而便于实施钓鱼攻击。这是因为 CVE-2012-0516 的修复方案不完整造成的。之前的修复方案增加了对 XSS 问题的验证,但并未增加对外部图像是否加载的验证。”Oracle 回应漏洞报告时指出,“非常感谢您提交的 Oracle iPlanet Web Server7.0.x 漏洞报告。由于该产品不再受 Oracle 支持,因此根据相关策略Oracle不再协同披露。如果研究员从不再受 Oracle 支持的产品中发现安全漏洞,可在 Oracle 不再参与的情况下自行发布漏洞。”Nightwatch 表示,即便如此,用户仍然可以执行其它控制缓解该漏洞,降低风险如限制互联网对管理面板的网络访问权限。Nightwatch 并未对之前版本进行测试。
https://threatpost.com/unpatched-bugs-oracle-iplanet/155639/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~