Уязвимости в Oracle iPlanet Web Server позволяют похитить конфиденциальные данные

Уязвимости в Oracle iPlanet Web Server позволяют похитить конфиденциальные данные

Поскольку iPlanet Web Server 7.0.x больше не поддерживается Oracle, исправлений для уязвимостей не будет.

image

Исследователи безопасности из компании Nightwatch Cybersecurity обнаружили ряд уязвимостей, затрагивающих Oracle iPlanet Web Server. Эксплуатация уязвимостей ( CVE-2020-9315 и CVE-2020-9314 ) позволяет злоумышленнику получить доступ к конфиденциальным данным и осуществлять фишинговые атаки.

Проблемы были обнаружены в консоли web-администрирования системы управления корпоративными серверами. Первая уязвимость (CVE-2020-9315) позволяет читать любую страницу в консоли без аутентификации путем простой замены URL-адреса интерфейса администратора на целевой странице. По словам специалистов, это может привести к утечке конфиденциальных данных, включая информацию о конфигурации и ключи шифрования.

Вторая проблема (CVE-2020-9314) была обнаружена в параметре «productNameSrc» консоли. Из-за некорректного исправления для уязвимости ( CVE-2012-0516 ) возникла возможность злоупотреблять данным параметром в сочетании с параметрами «productNameHeight» и «productNameWidth» для внедрения изображений в домен с целью осуществления фишинговых атак и использования социальной инженерии.

Версии Oracle iPlanet Web Server 7.0.x уязвимы к данным проблемам, но неизвестно, затронуты ли более ранние версии. Поскольку iPlanet Web Server 7.0.x является устаревшим продуктом и больше не поддерживается Oracle, компания не планирует выпускать исправления для уязвимостей.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.