Поскольку iPlanet Web Server 7.0.x больше не поддерживается Oracle, исправлений для уязвимостей не будет.
Исследователи безопасности из компании Nightwatch Cybersecurity
https://wwws.nightwatchcybersecurity...cve-2020-9314/ряд уязвимостей, затрагивающих Oracle iPlanet Web Server. Эксплуатация уязвимостей (
https://www.securitylab.ru/vulnerability/508198.php ) позволяет злоумышленнику получить доступ к конфиденциальным данным и осуществлять фишинговые атаки.
Проблемы были обнаружены в консоли web-администрирования системы управления корпоративными серверами. Первая уязвимость (
https://www.securitylab.ru/vulnerability/423407.php) позволяет читать любую страницу в консоли без аутентификации путем простой замены URL-адреса интерфейса администратора на целевой странице. По словам специалистов, это может привести к утечке конфиденциальных данных, включая информацию о конфигурации и ключи шифрования.
Вторая проблема (CVE-2020-9314) была обнаружена в параметре «productNameSrc» консоли. Из-за некорректного исправления для уязвимости ( CVE-2012-0516 ) возникла возможность злоупотреблять данным параметром в сочетании с параметрами «productNameHeight» и «productNameWidth» для внедрения изображений в домен с целью осуществления фишинговых атак и использования социальной инженерии.
Версии Oracle iPlanet Web Server 7.0.x уязвимы к данным проблемам, но неизвестно, затронуты ли более ранние версии. Поскольку iPlanet Web Server 7.0.x является устаревшим продуктом и больше не поддерживается Oracle, компания не планирует выпускать исправления для уязвимостей.