Oracle iPlanet Web Server（OiWS）是美国甲骨文（Oracle）公司的一款主要用于中型和大型业务应用程序的Web服务器。

最近，研究人员发现了两个影响Oracle iPlanet Web Server的安全漏洞，跟踪到的漏洞为CVE-2020-9314和CVE-2020-9315，它们可能导致注入攻击和敏感数据泄露。

CVE-2020-9314是Oracle iPlanet Web Server的Web管理控制台中存在的一个注入漏洞。管理控制台中的“productNameSrc”参数允许注入外部映像。当与“productNameHeight”和“productNameWidth”参数结合使用时，可以将外部图像注入站点以利于网络钓鱼。这是由于CVE-2012-0516的修补程序不完整所致。较早的修复程序添加了针对XSS问题的验证，但对确保没有加载外部映像未添加验证。

漏洞验证可尝试以下链接：

http://%5Btarget%5D/admingui/version/Version?&productNameSrc=http://www.example.com/test.jpg&productNameHeight=500&productNameWidth=500

http://%5Btarget%5D/admingui/version/Masthead.jsp?productNameSrc=http://www.example.com/test.jpg&productNameHeight=500&productNameWidth=500

CVE-2020-9315是Oracle iPlanet Web Server的Web管理控制台中存在的一个安全漏洞。该漏洞使得无需身份验证即可从控制台中的任何页面读取信息。这可能导致有关服务器的配置信息（包括加密密钥，JVM配置和其他数据）的敏感数据泄露。可以通过替换管理控制台中任何页面的任何URL来完成，如下所示：

http://%5Btarget%5D/admingui/admingui/*

http://%5Btarget%5D/admingui/版本/*

漏洞验证可尝试以下链接：

http://%5Btarget%5D/admingui/version/

http://%5Btarget%5D/admingui/version/serverTasksGeneral?serverTasksGeneral.GeneralWebserverTabs.TabHref=2

0x02 处置建议

由于Oracle不再支持Oracle iPlanet Web Server 7.0.x，所以不打算发布安全补丁程序。

临时措施：

最新版本的Oracle Glassfish和Eclipse Glassfish与iPlanet共享通用代码，已通过测试，没有漏洞，建议受影响用户下载使用。

限制从Internet到Oracle iPlanet Web Server的Web管理控制台的访问，只允许可信ip访问。

0x03 相关新闻

0x04 参考链接

https://www.oracle.com/us/assets/lifetime-support-middleware-069163.pdf