Уразливості в Oracle iPlanet Web Server дозволяють викрасти конфіденційні дані

Оскільки iPlanet Web Server 7.0.x більше не підтримується Oracle, виправлення вразливостей не буде.

Дослідники безпеки з компанії Nightwatch Cybersecurity виявили ряд вразливостей, що зачіпають Oracle iPlanet Web Server. Експлуатація вразливостей (CVE-2020-9315 і CVE-2020-9314) дозволяє зловмиснику отримати доступ до конфіденційних даних і здійснювати фішингові атаки.

Проблеми були виявлені в консолі web-адміністрування системи управління корпоративними серверами. Перша уразливість (CVE-2020-9315) дозволяє читати будь-яку сторінку в консолі без аутентифікації шляхом простої заміни URL-адреси інтерфейсу адміністратора на цільовій сторінці. За словами фахівців, це може призвести до витоку конфіденційних даних, включаючи інформацію про конфігурації та ключі шифрування.

Друга проблема (CVE-2020-9314) була виявлена в параметрі «productNameSrc» консолі. Через некоректне виправлення уразливості ( CVE-2012-0516 ) виникла можливість зловживати цим параметром у поєднанні з параметрами «productNameHeight» і «productNameWidth» для впровадження зображень в домен з метою здійснення фішингових атак і використання соціальної інженерії.

Версії Oracle iPlanet Web Server 7.0.x вразливі до даних проблем, але невідомо, чи порушені більш ранні версії. Оскільки iPlanet Web Server 7.0.x є застарілим продуктом і більше не підтримується Oracle, компанія не планує випускати виправлення вразливостей.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

55

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх