漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Oracle Database server 10.1.0.5 版本中存在多个未公开的漏洞,这些漏洞的具体影响和攻击途径不详。这些漏洞被Oracle分别识别为Vuln# DB04, DB06, DB10 和 DB16。
## 影响版本
- Oracle Database server 10.1.0.5
## 漏洞细节
- **Data Pump 组件(DB04 和 DB06)**
- **Net Listener 组件(DB10)**
- **Oracle Text 组件(DB16)**
值得注意的是,一个可靠的独立研究人员声称DB06漏洞涉及SQL注入,影响DBMS_DATAPUMP中的多个函数,包括 `GENERATE_JOB_NAME`, `GET_WORKERSTATUSLIST1010`, `GET_PARAMVALUES1010`, `GET_DUMPFILESET1010`, `GET_JOBSTATUS1010`, `ATTACH` 和 `ESTABLISH_REMOTE_CONTEXT`。尽管Oracle没有公开反驳这一说法,但这些细节未被Oracle所证实。
## 影响
这些漏洞可能导致未授权的操作和潜在的数据泄露风险。由于Oracle没有提供详细的漏洞说明,其具体影响和缓解措施还不明确。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple unspecified vulnerabilities in Oracle Database server 10.1.0.5 have unspecified impact and attack vectors, as identified by Oracle Vuln# (1) DB04 and (2) DB06 in the (a) Data Pump component; (3) DB10 in the (b) Net Listener component; and (4) DB16 in the (c) Oracle Text component. NOTE: details are unavailable from Oracle, but they have not publicly disputed a claim by a reliable independent researcher that states that DB06 is SQL injection in the GENERATE_JOB_NAME, GET_WORKERSTATUSLIST1010, GET_PARAMVALUES1010, GET_DUMPFILESET1010, GET_JOBSTATUS1010, ATTACH, and ESTABLISH_REMOTE_CONTEXT functions in DBMS_DATAPUMP.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Oracle DBMS绕过登录访问控制漏洞
漏洞描述信息
Oracle Database是一款大型商业数据库系统。 Oracle Database的登录过程实现存在漏洞,远程攻击者可能在登录过程中对服务器进行SQL注入攻击。在登录过程中,协议认证部分由两个步骤组成,包含有两个不同的客户端请求和两个服务器响应。第一个请求(消息代码0x76)仅包含有用户名,而第二个请求(消息代码0x73)包含有用户名和乱码的口令。第二个请求还包含有"名称-值"对列表,描述客户端的各种属性,其中AUTH_ALTER_SESSION值用于创建区域和语言相关的会话属性。这个值中可能包含有
CVSS信息
N/A
漏洞类别
SQL注入