VDB-1826 · CVE-2005-0873 · BID 15134

Oracle Database cross site scripting

CVSS Score de méta-températureExploit Prix Actuel (≈)Score d'intérêt CTI
3.2$0-$5k0.00

Une vulnérabilité a été trouvé dans Oracle Database (Database Software) et classée critique. Affecté par ce problème est une fonction inconnue. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe cross site scripting.

Le bug a été découvert sur 20/10/2005. La vulnerabilité a été publié en 18/10/2005 par Alexander Kornbrust avec Oracle (Website) (non défini). La notice d'information est disponible en téléchargement sur oracle.com Cette vulnérabilité a été nommée CVE-2005-0873. La vulnerabilité est très populaire, à cause de sa faible compléxité. L'accés au réseau local est requis pour cette attaque. L'exploitation ne nécéssite aucune forme d'authentification. Les details techniques sont inconnus mais une méthode d'exploitation est connue.

Après avant et non après un exploit a été rendu public. Il est déclaré comme proof-of-concept. Le scanner de vulnérabilités Nessus propose un module ID 17614 (Oracle Reports Server test.jsp Multiple Parameter XSS), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.

En appliquant un correctif il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur oracle.com.

La vulnérabilité est aussi documentée dans la base de données Tenable (17614).

Produitinfo

Taper

Fournisseur

Nom

Licence

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv3info

VulDB Score méta-base: 3.5
VulDB Score de méta-température: 3.2

VulDB Note de base: 3.5
VulDB Note temporaire: 3.2
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VecteurComplexitéAuthentificationConfidentialitéIntégritéDisponibilité
ouvrirouvrirouvrirouvrirouvrirouvrir
ouvrirouvrirouvrirouvrirouvrirouvrir
ouvrirouvrirouvrirouvrirouvrirouvrir

VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍

NVD Note de base: 🔍

Exploitinginfo

Classe: Cross site scripting
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Localement: Non
Remote: Partiellement

Disponibilité: 🔍
Statut: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍

0-Dayouvrirouvrirouvrirouvrir
Aujourd'huiouvrirouvrirouvrirouvrir

Nessus ID: 17614
Nessus Nom: Oracle Reports Server test.jsp Multiple Parameter XSS
Nessus Document: 🔍
Nessus Risque: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Renseignements sur les menacesinfo

Intérêt: 🔍
Acteurs actifs: 🔍
Groupes APT actifs: 🔍

Contre-mesuresinfo

Recommandé: Patch
Statut: 🔍

Heure 0 jour: 🔍

Patch: oracle.com
TippingPoint: 🔍
SourceFire IPS: 🔍
Fortigate IPS: 🔍

Chronologieinfo

24/03/2005 🔍
24/03/2005 +0 jours 🔍
24/03/2005 +0 jours 🔍
26/03/2005 +2 jours 🔍
27/03/2005 +1 jours 🔍
29/03/2005 +1 jours 🔍
15/04/2005 +17 jours 🔍
02/05/2005 +17 jours 🔍
18/10/2005 +169 jours 🔍
18/10/2005 +0 jours 🔍
20/10/2005 +2 jours 🔍
04/07/2019 +5005 jours 🔍

Sourcesinfo

Fournisseur: oracle.com

Bulletin: oracle.com
Chercheur: Alexander Kornbrust
Organisation: Oracle
Statut: Non défini
Confirmation: 🔍

CVE: CVE-2005-0873 (🔍)
Vulnerability Center: 7447 - XSS in Oracle Reports Server 10g \x27test.jsp\x27, Medium
SecurityFocus: 15134 - Oracle October Security Update Multiple Vulnerabilities
Secunia: 17250 - Oracle Products 85 Unspecified Vulnerabilities, Highly Critical
OSVDB: 15050 - Oracle Reports Server test.jsp Multiple Parameter XSS

scip Labs: https://www.scip.ch/en/?labs.20161013
Voir aussi: 🔍

Entréeinfo

Établi: 15/04/2005 10:35
Mise à jour: 04/07/2019 20:44
Changements: 15/04/2005 10:35 (88), 04/07/2019 20:44 (1)
Compléter: 🔍

Discussion

Aucun commentaire pour l'instant. Langues: fr + en.

Veuillez vous connecter pour commenter.

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!