研究人员已经发现了一系列影响Oracle iPlanet Web Server的漏洞。
被称为CVE-2020-9315和CVE-2020-9314的安全漏洞允许敏感数据公开和有限的注入攻击。
Nightwatch网络安全研究人员于2020年1月19日首次发现了这些问题,这些问题是在企业服务器管理系统的Web管理控制台中发现的。
CVE-2020-9315只需替换目标页面的管理GUI URL,即可在不进行身份验证的情况下读取控制台中的任何页面。研究人员说,此错误可能导致敏感数据泄漏,包括配置信息和加密密钥。
在控制台的“ productNameSrc”参数中发现了第二个安全漏洞CVE-2020-9314。CVE-2012-0516的不完整修复程序(包含XSS验证问题的“未指定”安全问题)允许将该参数与“ productNameHeight”和“ productNameWidth”参数一起滥用,以将图像注入到域中。网络钓鱼和社会工程的目的。
Oracle iPlanet Web Server 7.0.x容易受到这些问题的影响,但是尚不清楚该应用程序的早期版本是否也会受到影响。研究人员说,Oracle Glassfish和Eclipse Glassfish的最新版本与iPlanet“共享通用代码”,但是它们“似乎并不脆弱”。
由于iPlanet Web Server 7.0.x是旧产品,Oracle 不再支持(.PDF),因此没有计划发布安全修复程序。
该公司表示:“由于Oracle不再支持Oracle iPlanet Web Server 7.0.x,因此政策是不涉及Oracle的任何协调披露。” “发现Oracle不再支持的产品中的安全漏洞的报告者可以自由地披露漏洞详细信息,而无需Oracle的参与。”
如果组织仍在使用此旧版软件,则建议采用其他控制措施以减轻被利用的风险,例如限制网络访问或进行升级。
发现之后,研究人员最初于1月24日将其发现发送给思科。由于不再支持该产品,该技术巨头两次拒绝了该报告,但仍将安全漏洞提交给MITER进行CVE分配。到2月2日,该机构已分配了CVE编号,导致5月份公开披露。
几个月前,思科披露并纠正了影响自适应安全设备(ASA)和Firepower威胁防御(FTD)软件套件的十二个高严重性漏洞。
总共修复了八个拒绝服务错误,内存泄漏问题,路径遍历问题和身份验证绕过漏洞-最严重的漏洞是其CVSS得分9.1。
*编译:Domino
*来自:ZDNET