iPlanet เป็น Web Server ค่าย Oracle ซึ่งล่าสุดมีการพบช่องโหว่ใหม่ 2 รายการบน iPlanet เวอร์ชัน 7.0.x ซึ่งนำไปสู่การเปิดเผยข้อมูลและการ Inject รูปภาพ จึงแนะนำให้ผู้ที่ยังใช้งานหาทางป้องกันเนื่องจากเวอร์ชันนี้เก่าจน Vendor ไม่ออกแพตช์แล้ว
ช่องโหว่ 2 รายการคือ
- CVE-2020-9315 – เป็นช่องโหว่ที่คนร้ายสามารถเข้าไปยังเพจเป้าหมายผ่านทาง Admin GUI URL โดยไม่มีการพิสูจน์ตัวตน ทำให้อาจเปิดเผยข้อมูลในการตั้งค่าได้
- CVE-2020-9314 – เป็นบั๊กต่อเนื่องจากที่มาจากการอุดช่องโหว่ไม่สมบูรณ์ใน CVE-2012-0516 ซึ่งสามารถใช้พารามิเตอร์ ‘productNameSrc’ ในหน้าคอนโซลเข้ามา Inject รูปภาพในโดเมนได้
ประเด็นคือ iPlanet 7.0.x ได้สิ้นสุดระยะเวลาการดูแลไปแล้ว ทำให้คาดว่าไม่น่าจะมีแพตช์ใดๆ ออกมา รวมถึงยังไม่แน่ว่าจะมีช่องโหว่กับเวอร์ชันก่อนหน้าด้วยหรือไม่ แต่นักวิจัยเผยว่า Glassfish และ Eclipse ที่มีการแชร์โค้ดบางส่วนร่วมกันกับ iPlanet ไม่ได้รับผลกระทบ ด้วยเหตุนี้หากใครยังใช้อยู่ควรดูแลตัวเองด้วยการจำกัดการเข้าถึงหรืออัปเกรตเวอร์ชันใหม่ได้แล้ว
ที่มา : https://www.zdnet.com/article/data-leak-phishing-security-flaws-exposed-in-oracle-iplanet-web-server/ และ https://www.techtalkthai.com/oracle-web-server-iplanet-7-0-vulnerabilities/