一、 漏洞 CVE-2020-9314 基础信息
漏洞信息
# N/A
## 漏洞概述
Oracle iPlanet Web Server 7.0.x 的 Administration console 中存在通过 admingui URI 的 productNameSrc 参数注入图像的漏洞。这是由于 CVE-2012-0516 的修复不完整导致的。
## 影响版本
- Oracle iPlanet Web Server 7.0.x
## 细节
攻击者可以通过向 admingui URI 传递一个恶意的 `productNameSrc` 参数,注入恶意图像。这主要是因为之前 CVE-2012-0516 的修复并不彻底。
## 影响
该漏洞可能导致任意图像被注入到 Administration console 中,从而可能引发跨站脚本(XSS)攻击或其他安全问题。建议立即更新或应用相应的补丁以避免潜在的安全风险。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于Oracle iPlanet Web Server 7.0.x的管理控制台中,通过admingui URI的productNameSrc参数允许图像注入。该漏洞是由于对CVE-2012-0516的修复不完全导致的。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
** PRODUCT NOT SUPPORTED WHEN ASSIGNED ** Oracle iPlanet Web Server 7.0.x allows image injection in the Administration console via the productNameSrc parameter to an admingui URI. This issue exists because of an incomplete fix for CVE-2012-0516. NOTE: a related support policy can be found in the www.oracle.com references attached to this CVE.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Oracle iPlanet Web Server 注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Oracle iPlanet Web Server(OiWS)是美国甲骨文(Oracle)公司的一款主要用于中型和大型业务应用程序的Web服务器。 Oracle OiWS 7.0.x版本中的管理控制台存在注入漏洞。攻击者可借助‘productNameSrc’参数利用该漏洞实施钓鱼攻击或社会工程攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-9314 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Oracle iPlanet Web Server 7.0.x allows image injection in the Administration console via the productNameSrc parameter to an admingui URI. This issue exists because of an incomplete fix for CVE-2012-0516. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-9314.yaml | POC详情 |
三、漏洞 CVE-2020-9314 的情报信息
标题: Two vulnerabilities in Oracle’s iPlanet Web Server (CVE-2020-9315 and CVE-2020-9314) | Nightwatch Cybersecurity -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:在 Oracle 的 iPlanet Web Server 中发现了两个漏洞:CVE-2020-9315 和 CVE-2020-9314。 - **CVE-2020-9315**: - **问题**: 敏感数据泄露 / 管理员GUI绕过。 - **描述**: 该漏洞允许未经授权访问web administration console内的任何页面,导致敏感数据泄露,如加密密钥,JVM配置等。 - **影响范围**: 该漏洞允许对 iPlanet Web Server web administration console 内的任何信息进行未授权访问。 - **修复**: Vendor决定不再发布针对此问题的安全补丁,因为该产品不再受支持。 - **CVE-2020-9314**: - **问题**: 图片注入到管理员GUI。 - **描述**: 通过特定参数组合,可以注入外部图片,用于钓鱼攻击。 - **影响范围**: 利用 iPlanet Web Server 管理员GUI中的漏洞,通过网络已经公开的CVE-2012-0516,实现了外部图片的注入。 - **修复**: 同理,厂商决定不再发布针对此问题的安全补丁。 - **受影响的版本**: 已测试版本7; 但不确定早期版本是否受影响 - **厂商回应**: Oracle已经宣布不再支持该产品,因此不打算就两个漏洞发行安全补丁。 ```markdown ### 关键信息 - **漏洞详情** - CVE-2020-9315: 敏感数据泄露 / 管理员GUI绕过 - CVE-2020-9314: 图片注入到管理员GUI - **受影响版本** - iPlanet Web Server Version 7 已经测试确认受影响 - **厂商回应** - Oracle: 由于产品不再受支持,不计划发行安全补丁 - 建议用户实施其他控制措施,如限制对管理控制台的网络访问或切换到受支持的平台。 - **参考信息** - CVE-2012-0516: 与此漏洞有关的先前问题 ```
- https://www.oracle.com/support/lifetime-support/x_refsource_MISC
- https://www.oracle.com/us/assets/lifetime-support-middleware-069163.pdfx_refsource_MISC
标题: Full Disclosure: Two vulnerabilities in Oracle’s iPlanet Web Server (CVE-2020-9315 and CVE-2020-9314) -- 🔗来源链接
标签:mailing-listx_refsource_FULLDISC
神龙速读:### 关键信息总结: - **CVE编号**: - CVE-2020-9315 - CVE-2020-9314 - **受影响产品**: - Oracle iPlanet Web Server - **漏洞详情**: - **CVE-2020-9315**: 敏感数据暴露/管理GUI绕过 - 允许在无认证情况下访问管理控制台内的任何页面,导致敏感数据暴露。 - **CVE-2020-9314**: 图片注入在管理员GUI - 通过向`productNameSrc`参数注入外部图片URL,结合其他参数,可用于钓鱼和社交工程攻击。 - **测试版本**: - 确认iPlanet Web Server 7.0.x版本受影响,旧版本是否受影响未知。 - Oracle GlassFish和Eclipse GlassFish (v5)不受影响。 - **厂商响应**: - 由于iPlanet Web Server 7.0.x不再受支持,Oracle不计划发布补丁。 - Oracle建议用户实施其他控制措施或切换至支持的产品。 - **建议缓解措施**: - 限制管理控制台的网络访问,例如阻止互联网直接访问。 - 考虑迁移到受支持的平台。 - **时间线**: - 2020-01-19 初始发现漏洞 - 2020-02-28 MITRE分配CVE编号 - 2020-05-10 公开披露 - **相关参考**: - CERT/CC ID: VU#343851 - Oracle生命周期支持文档和相关CVE公告链接。 此总结基于截图中提供的信息,浓缩了关于漏洞的核心要点。
- https://nvd.nist.gov/vuln/detail/CVE-2020-9314
四、漏洞 CVE-2020-9314 的评论
暂无评论