Oracle 9i Application Server поставляется с Web-сервером
(основанным на apache) и поддержкой сред типа
SOAP, PL/SQL, XSQL и JSP.

Apache модуль PL/SQL для Oracle 9iAS обеспечивает
удаленное администрирование Database Access
Descriptors и доступ к страницам помощи.

Удаленный нападающий может создать
специальный запрос, содержащий двойную
последовательность dot-dot-slash (../), который
приведет к обходу корневой директории.
Уязвимость позволяет читать файлы на диске 
с правами Web сервера (на Windows с правами system)

Уязвимость найдена в Oracle Oracle 9i Application Server
для всех операционных систем.



Оставить мнение