Уязвимости в Oracle iPlanet Web Server позволяют похитить конфиденциальные данные

Вт 12 Май 2020 10:02

Исследователи безопасности из компании Nightwatch Cybersecurity обнаружили ряд уязвимостей, затрагивающих Oracle iPlanet Web Server. Эксплуатация уязвимостей (CVE-2020-9315 и CVE-2020-9314) позволяет злоумышленнику получить доступ к конфиденциальным данным и осуществлять фишинговые атаки.

Проблемы были обнаружены в консоли web-администрирования системы управления корпоративными серверами. Первая уязвимость (CVE-2020-9315) позволяет читать любую страницу в консоли без аутентификации путем простой замены URL-адреса интерфейса администратора на целевой странице. По словам специалистов, это может привести к утечке конфиденциальных данных, включая информацию о конфигурации и ключи шифрования.

Вторая проблема (CVE-2020-9314) была обнаружена в параметре «productNameSrc» консоли. Из-за некорректного исправления для уязвимости ( CVE-2012-0516 ) возникла возможность злоупотреблять данным параметром в сочетании с параметрами «productNameHeight» и «productNameWidth» для внедрения изображений в домен с целью осуществления фишинговых атак и использования социальной инженерии.

Версии Oracle iPlanet Web Server 7.0.x уязвимы к данным проблемам, но неизвестно, затронуты ли более ранние версии. Поскольку iPlanet Web Server 7.0.x является устаревшим продуктом и больше не поддерживается Oracle, компания не планирует выпускать исправления для уязвимостей.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 220 дней 7 часов 6 минут 16 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.