| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte Datenbank-Lösung. Die Portalkomponente wird standardmässig beim Oracle Application Server mitinstalliert. In einer URL übertragene Benutzereingaben werden nicht richtig gefiltert, so dass manipulierte Parameter als SQL-Befehle an die Datenbank übergeben werden können. Ein Angreifer kann über diese SQL-Injection ohne Authentifizierung auf die Datenbank zugreifen (z.B. Mittels Webbrowser). Zur Zeit sind noch keine genauen Details oder gar Exploits zur Schwachstelle bekannt. Oracle schätzt das Risiko der Schwachstelle als hoch ein und hat für die verwundbaren Software-Versionen unverzüglich Bugfixes zur Verfügung gestellt. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (13593) und Tenable (11918) dokumentiert. Weitere Informationen werden unter otn.oracle.com bereitgestellt.
Für den Vulnerability Scanner Nessus wurde am 09.11.2003 ein Plugin mit der ID 11918 (Oracle PORTAL_DEMO.ORG_CHART SQL Injection) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Databases zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 19214 (Oracle 9i Application Server Portal SQL Injection Vulnerability) zur Prüfung der Schwachstelle an.
SQL-Injection ist wie Cross Site Scripting ein Thema, das nicht oft diskutiert und deshalb von den wenigsten wirklich ernst genommen wird. Die Gefahr dieser SQL-Schwachstelle in einem Datenbank-System ansich kann jedoch nicht verleugnet werden. Gerade da Oracle eine hohe Verbreitung hat und für wirtschaftliche Zwecke eingesetzt wird, ist es sowohl für Skript-Kiddies als auch ernstzunehmende Cracker eine erfreuliche Meldung. Werden erst einmal automatisierte Tools zum Ausnutzen der Schwachstelle herumgereicht, dürfte mit einer Welle von Angriffen zu rechnen sein.
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.4
VulDB Base Score: 5.6
VulDB Temp Score: 5.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 11918
Nessus Name: Oracle PORTAL_DEMO.ORG_CHART SQL Injection
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 11918
OpenVAS Name: Oracle 9iAS PORTAL_DEMO ORG_CHART
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: metalink.oracle.com
Snort ID: 2276
Timeline
03.11.2003 🔍03.11.2003 🔍
03.11.2003 🔍
03.11.2003 🔍
03.11.2003 🔍
04.11.2003 🔍
04.11.2003 🔍
04.11.2003 🔍
04.11.2003 🔍
09.11.2003 🔍
12.11.2003 🔍
04.05.2005 🔍
27.06.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: securityfocus.com⛔
Person: David Litchfield
Firma: Generation Security Software Ltd.
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2003-1193 (🔍)
X-Force: 13593 - Oracle Application Server Portal components SQL injection, Medium Risk
Vulnerability Center: 2822 - SQL Injection in Oracle 9iAS, High
SecuriTeam: securiteam.com
SecurityFocus: 8966 - Oracle9iAS Portal Component SQL Injection Vulnerability
Secunia: 10130 - Oracle9i Application Server Portal Component SQL Injection Vulnerability, Moderately Critical
OSVDB: 2763 - Oracle Application Server Multiple Portal Component Unspecified SQL Injection
Diverses: 🔍
Eintrag
Erstellt: 04.11.2003 18:14Aktualisierung: 27.06.2019 08:37
Anpassungen: 04.11.2003 18:14 (96), 27.06.2019 08:37 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.