Программа:
Oracle Application Express 1.x
Oracle Application Express 2.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10.x
Oracle E-Business Suite 11i
Oracle E-Business Suite 12.x
Oracle PeopleSoft Enterprise Customer Relationship Management (CRM) 9.x
Oracle PeopleSoft Enterprise Human Capital Management 8.x
Oracle PeopleSoft Enterprise Human Capital Management 9.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Secure Enterprise Search 10.x
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
PeopleSoft Enterprise Customer Relationship Management (CRM) 8.x
Найденные уязвимости позволяют удаленному злоумышленнику обойти ограничения безопасности и выполнить произвольный SQL код в базе данных приложения.
1) Уязвимость возникает из-за того, что Oracle APEX не правильно проверяет данные, поступающие через пароль, используемый в функции wwv_flow_security.check_db_password перед использованием в SQL запросах. Атакующий может выполнить произвольный SQL код в базе данных приложения.
2) Уязвимость возникает из-за возможности злоумышленником использовать специально составленные представления базы данных. Атакующий может выполнять операции update, delete и insert без наличия соответствующих привилегий.
3) Уязвимость возникает из-за ошибки в проверке входных пакетом DBMS_PRVTAQIS. Атакующий может выполнить произвольный SQL код в базе данных приложения.
