Оскільки iPlanet Web Server 7.0.x більше не підтримується Oracle, виправлення вразливостей не буде.
Дослідники безпеки з компанії Nightwatch Cybersecurity виявили ряд вразливостей, що зачіпають Oracle iPlanet Web Server. Експлуатація вразливостей (CVE-2020-9315 і CVE-2020-9314) дозволяє зловмиснику отримати доступ до конфіденційних даних і здійснювати фішингові атаки.
Проблеми були виявлені в консолі web-адміністрування системи управління корпоративними серверами. Перша уразливість (CVE-2020-9315) дозволяє читати будь-яку сторінку в консолі без аутентифікації шляхом простої заміни URL-адреси інтерфейсу адміністратора на цільовій сторінці. За словами фахівців, це може призвести до витоку конфіденційних даних, включаючи інформацію про конфігурації та ключі шифрування.
Друга проблема (CVE-2020-9314) була виявлена в параметрі «productNameSrc» консолі. Через некоректне виправлення уразливості ( CVE-2012-0516 ) виникла можливість зловживати цим параметром у поєднанні з параметрами «productNameHeight» і «productNameWidth» для впровадження зображень в домен з метою здійснення фішингових атак і використання соціальної інженерії.
Версії Oracle iPlanet Web Server 7.0.x вразливі до даних проблем, але невідомо, чи порушені більш ранні версії. Оскільки iPlanet Web Server 7.0.x є застарілим продуктом і більше не підтримується Oracle, компанія не планує випускати виправлення вразливостей.
