Программа: 
JD Edwards EnterpriseOne 8.x
JD Edwards OneWorld 8.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10g
Oracle Database 8.x
Oracle E-Business Suite 11i
Oracle Enterprise Manager 10.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Pharmaceutical Applications 4.x
Oracle Workflow 11.x
Oracle9i Application Server
Oracle9i Collaboration Suite
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle9i Developer Suite 

Обнаруженные уязвимости позволяют удаленному пользователю произвести SQL-инъекцию и скомпрометировать целевую систему.

Данные раскрыты по следующим уязвимостям:

1. Уязвимость существует из-за недостаточной обработки входных данных в процедурах «IMPORT_CHANGE_SET», «IMPORT_CHANGE_TABLE», «IMPORT_CHANGE_COLUMN», «IMPORT_SUBSCRIBER», «IMPORT_SUBSCRIBED_TABLE», «IMPORT_SUBSCRIBED_COLUMN», «VALIDATE_IMPORT», «VALIDATE_CHANGE_SET», «VALIDATE_CHANGE_TABLE» и «VALIDATE_SUBSCRIPTION» из пакета «sys.dbms_cdc_impdp». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

2. Уязвимость существует из-за недостаточной обработки входных данных в процедуре «MAIN» в пакете «sys.kupw$worker». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

3. Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_stats». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

4. Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_upgrade». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.



Оставить мнение