Oracle不打算修复这两个iPlanet信息泄漏和注入漏洞

Oracle不打算修复这两个iPlanet信息泄漏和注入漏洞聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Oracle 不打算修复 iPlanet Web Server 中的两个网页敏感信息泄漏和注入漏洞CVE-2020-9315 和 CVE-2020-9314。它们存在于已到达生命周期且也不再受支持的 iPlanet 7 的管理面板中。

第一个漏洞 (CVE-2020-9315) 可导致在未认证情况下在管理面板中获得对任意网页的只读权限。

Nightwatch 安全团队发布文章指出，“这可导致服务器配置信息的敏感数据遭暴露，包括加***、Java 虚拟机 (JVM) 配置数据和其它数据等。我们并未测试该漏洞是否可导致在面板内进行修改。”攻击者可以替换管理面板中任意页面的 URL。

第二个漏洞 (CVE-2020-9314) 源自控制面板中的 “productNameSrc” 参数，“但和 ‘productNameHeight’和 ‘productNameWidth’ 参数结合使用时，可导致将外部图像注入网站从而便于实施钓鱼攻击。这是因为 CVE-2012-0516 的修复方案不完整造成的。之前的修复方案增加了对 XSS 问题的验证，但并未增加对外部图像是否加载的验证。”

Oracle 回应漏洞报告时指出，“非常感谢您提交的 Oracle iPlanet Web Server7.0.x 漏洞报告。由于该产品不再受 Oracle 支持，因此根据相关策略Oracle不再协同披露。如果研究员从不再受 Oracle 支持的产品中发现安全漏洞，可在 Oracle 不再参与的情况下自行发布漏洞。”

Nightwatch 表示，即便如此，用户仍然可以执行其它控制缓解该漏洞，降低风险如限制互联网对管理面板的网络访问权限。Nightwatch 并未对之前版本进行测试。