Java官网曝本地文件包含（LFI）漏洞，可读取超过460位Oracle公司员工邮箱

微信号：freebuf

意大利安全研究人员Christian Galeone最近发现一枚Java官网存在的重大安全漏洞，该漏洞可读取网站敏感数据，包括超过460位Oracle公司员工的邮箱。

Java官网本地文件包含（LFI）漏洞

Java JDK7网站上存在目录浏览（Path Traversal）/本地文件包含（Local File Inclusion）漏洞。

研究人员测试，通过漏洞可读取服务器端敏感数据（Important Sensible Server-Side Data）也包含在内。如果该漏洞被攻击者利用的话，不仅会泄露web服务器敏感信息，还可以读取应用程序源码。

在漏洞验证截图中，Christian披露了超过460位Oracle公司员工的邮箱地址。

漏洞已紧急修复

Christian在发现漏洞后，第一时间报告给了Java的安全团队。Java的安全团队已于漏洞报告当天紧急修复漏洞。同时，Java.net为奖励白帽子的雷锋精神，邀请他加入公司4月14日的Next CPU（重要补丁更新）项目。

参考来源blog.hackersonlineclub，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）