• Партнер

  • Программа: 
    JD Edwards EnterpriseOne 8.x
    JD Edwards OneWorld 8.x
    Oracle Application Server 10g
    Oracle Collaboration Suite 10.x
    Oracle Database 10g
    Oracle Database 8.x
    Oracle E-Business Suite 11i
    Oracle Enterprise Manager 10.x
    Oracle PeopleSoft Enterprise Tools 8.x
    Oracle Pharmaceutical Applications 4.x
    Oracle Workflow 11.x
    Oracle9i Application Server
    Oracle9i Collaboration Suite
    Oracle9i Database Enterprise Edition
    Oracle9i Database Standard Edition
    Oracle9i Developer Suite 

    Обнаруженные уязвимости позволяют удаленному пользователю произвести SQL-инъекцию и скомпрометировать целевую систему.

    Данные раскрыты по следующим уязвимостям:

    1. Уязвимость существует из-за недостаточной обработки входных данных в процедурах "IMPORT_CHANGE_SET", "IMPORT_CHANGE_TABLE", "IMPORT_CHANGE_COLUMN", "IMPORT_SUBSCRIBER", "IMPORT_SUBSCRIBED_TABLE", "IMPORT_SUBSCRIBED_COLUMN", "VALIDATE_IMPORT", "VALIDATE_CHANGE_SET", "VALIDATE_CHANGE_TABLE" и "VALIDATE_SUBSCRIPTION" из пакета "sys.dbms_cdc_impdp". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

    2. Уязвимость существует из-за недостаточной обработки входных данных в процедуре "MAIN" в пакете "sys.kupw$worker". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

    3. Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_stats". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

    4. Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_upgrade". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии