• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Внедрение SQL-кода

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Oracle Critical Patch Updates (11724953, 13621679, 13632738, 13632743, 13715809, 13715810, 16345862)
Описание
Уязвимость в Oracle Application Express может эксплуатироваться по векторам атак, связанным с удаленной авторизацией и flows_030000.wwv_execute_immediate. Данная уязвимость также известна как APEX01. Замечание: Сторонний надежный источник предоставил информацию о том, что уязвимость возникает из-за некорректной проверки авторизации для SQL-команд в функции run_ddl в flows_030000.wwv_execute_immediate, что позволяет удаленным пользователям, которые прошли авторизацию, повысить свои привилегии.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.oracle.com/
Ссылки
FRSIRT (ADV-2008-1233): http://www.frsirt.com/english/advisories/2008/1233/references
FRSIRT (ADV-2008-1267): http://www.frsirt.com/english/advisories/2008/1267/references
XF (oracle-apex-privilege-escalation(41988)): http://xforce.iss.net/xforce/xfdb/41988
XF (oracle-cpu-april-2008(41858)): http://xforce.iss.net/xforce/xfdb/41858