漏洞详情: CVE-2006-0259

漏洞标题
NVD 暂无描述信息
来源:NVD
Oracle DBMS绕过登录访问控制漏洞
来源:CNNVD
漏洞描述
Multiple unspecified vulnerabilities in Oracle Database server 10.1.0.5 have unspecified impact and attack vectors, as identified by Oracle Vuln# (1) DB04 and (2) DB06 in the (a) Data Pump component; (3) DB10 in the (b) Net Listener component; and (4) DB16 in the (c) Oracle Text component. NOTE: details are unavailable from Oracle, but they have not publicly disputed a claim by a reliable independent researcher that states that DB06 is SQL injection in the GENERATE_JOB_NAME, GET_WORKERSTATUSLIST1010, GET_PARAMVALUES1010, GET_DUMPFILESET1010, GET_JOBSTATUS1010, ATTACH, and ESTABLISH_REMOTE_CONTEXT functions in DBMS_DATAPUMP.
来源:NVD
Oracle Database是一款大型商业数据库系统。 Oracle Database的登录过程实现存在漏洞,远程攻击者可能在登录过程中对服务器进行SQL注入攻击。在登录过程中,协议认证部分由两个步骤组成,包含有两个不同的客户端请求和两个服务器响应。第一个请求(消息代码0x76)仅包含有用户名,而第二个请求(消息代码0x73)包含有用户名和乱码的口令。第二个请求还包含有"名称-值"对列表,描述客户端的各种属性,其中AUTH_ALTER_SESSION值用于创建区域和语言相关的会话属性。这个值中可能包含有
来源:CNNVD
Oracle数据库服务器10.1.0.5存在多个未指定漏洞,根据Oracle Vuln#(1)为(a)数据 Pump组件中的DB04和(2)为(a)数据 Pump组件中的DB06;(3)为(b)Net Listener组件中的DB10;(4)为(c)Oracle Text组件中的DB16;这些漏洞可能具有未定义的影响和攻击方式。 Note: Oracle无法提供详细信息,但它们没有公开否认一位可靠的独立研究者声称,DB06在 DBMS_DATAPUMP中的GENERATE_JOB_NAME、GET_WORKERSTATUSLIST1010、GET_PARAMVALUES1010、GET_DUMPFILESET1010、GET_JOBSTATUS1010、ATTACH和ESTABLISH_REMOTE_CONTEXT函数中存在SQL注入。
来源:神龙机器人
漏洞评分(CVSS)
NVD 暂无评分
来源:NVD
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:神龙机器人, 准确率:N/A
漏洞类别
NVD 暂无漏洞类别信息
来源:NVD
SQL注入
来源:CNNVD
相关链接