在 Oracle 的 iPlanet Web Server 中发现了两个漏洞:CVE-2020-9315 和 CVE-2020-9314。 CVE-2020-9315: - 问题: 敏感数据泄露 / 管理员GUI绕过。 - 描述: 该漏洞允许未经授权访问web administration console内的任何页面,导致敏感数据泄露,如加密密钥,JVM配置等。 - 影响范围: 该漏洞允许对 iPlanet Web Server web administration console 内的任何信息进行未授权访问。 - 修复: Vendor决定不再发布针对此问题的安全补丁,因为该产品不再受支持。 CVE-2020-9314: - 问题: 图片注入到管理员GUI。 - 描述: 通过特定参数组合,可以注入外部图片,用于钓鱼攻击。 - 影响范围: 利用 iPlanet Web Server 管理员GUI中的漏洞,通过网络已经公开的CVE-2012-0516,实现了外部图片的注入。 - 修复: 同理,厂商决定不再发布针对此问题的安全补丁。 受影响的版本: 已测试版本7; 但不确定早期版本是否受影响 厂商回应: Oracle已经宣布不再支持该产品,因此不打算就两个漏洞发行安全补丁。