Oracle Database Server fino 10.2.0.4.0 Workspace Manager sql injection
| CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
In Oracle Database Server fino 10.2.0.4.0 (Database Software) è stato trovato un punto critico di livello critico. Riguarda una funzione sconosciuta del componente Workspace Manager. La manipolazione di un input sconosciuto se causa una vulnerabilità di classe sql injection. Con gli effetti bisogna tener conto di riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 17/10/2007 da David Litchfield da NGSSoftware con un posting (Bugtraq) (confermato). L'advisory è scaricabile da securityfocus.com. Questa vulnerabilità è identificata come CVE-2007-5511. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo necessita di una valida autentificazione. Non sono conosciuti dettagli tecnici ma un metodo di utilizzo è disponibile.
immediatamente dopo, è stato diffuso un exploit. È stato dichiarato come altamente funzionale. È disponibile un plugin per lo scanner Nessus, numero ID 56058 (Oracle Database Multiple Vulnerabilities (October 2007 CPU)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 10.2.0.4.1 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database X-Force (37308) e Tenable (56058).
Prodotto
Genere
Fornitore
Nome
Versione
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 6.3VulDB Punteggio Meta Temp: 6.0
VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 6.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Classe: Sql injectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Altamente funzionale
Scaricamento: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
|---|---|---|---|---|
| Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Nessus ID: 56058
Nessus Nome: Oracle Database Multiple Vulnerabilities (October 2007 CPU)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
MetaSploit ID: lt_findricset_cursor.rb
MetaSploit Nome: Oracle DB SQL Injection via SYS.LT.FINDRICSET Evil Cursor Method
MetaSploit File: 🔍
Exploit-DB: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: UpgradeStato: 🔍
Tempo di reazione: 🔍
Tempo di esposizione: 🔍
Sfrutta il tempo di ritardo: 🔍
Upgrade: Database Server 10.2.0.4.1
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Versione: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Sequenza temporale
17/10/2007 🔍17/10/2007 🔍
17/10/2007 🔍
17/10/2007 🔍
17/10/2007 🔍
17/10/2007 🔍
17/10/2007 🔍
17/10/2007 🔍
17/10/2007 🔍
21/10/2007 🔍
08/01/2008 🔍
16/03/2015 🔍
29/07/2021 🔍
Fonti
Fornitore: oracle.comAdvisory: securityfocus.com⛔
Riceratore: David Litchfield
Organizzazione: NGSSoftware
Stato: Confermato
CVE: CVE-2007-5511 (🔍)
X-Force: 37308
SecurityTracker: 1018823 - Oracle Database and Other Products Have Unspecified Vulnerabilities With Unspecified Impact
Vulnerability Center: 16570 - Oracle Database and Application Server Workspace Manager (OWM) Component Unspecified Vulnerabilities, Medium
SecurityFocus: 26098 - Oracle Workspace Manager LT Package SQL Injection Vulnerability
Secunia: 27251 - Oracle Products Multiple Vulnerabilities, Moderately Critical
OSVDB: 40079 - Oracle Workspace Manager LT Package FINDRICSET Procedure SQL Injection
Vupen: ADV-2007-3524
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 16/03/2015 12:18Aggiornamenti: 29/07/2021 11:51
I cambiamenti: 16/03/2015 12:18 (73), 07/04/2017 17:05 (20), 29/07/2021 11:43 (2), 29/07/2021 11:51 (1)
Completa: 🔍
Cache ID: 3:93C:103
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.