漏洞详情: CVE-2006-0260

漏洞标题
NVD 暂无描述信息
来源:NVD
Oracle DBMS绕过登录访问控制漏洞
来源:CNNVD
漏洞描述
Multiple unspecified vulnerabilities in Oracle Database server 9.2.0.7 and 10.1.0.5 have unspecified impact and attack vectors, as identified by Oracle Vuln# (1) DB05 in the (a) Data Pump component; (2) DB15 in the (b) Oracle Text component; (3) DB22 in the (c) Streams Apply component; (4) DB23 and (5) DB24 in the (d) Streams Capture component; and (6) DB26 in the (e) Streams Subcomponent. NOTE: details are unavailable from Oracle, but they have not publicly disputed a claim by a reliable independent researcher that states that DB05 involves SQL injection in the (f) LONG2VARCHAR, LONG2VCMAX, LONG2VCNT, and LONG2CLOB functions in the DBMS_METADATA_UTIL package; (g) MAKE_FILTER, FETCH_VIEWS_ERROR, FETCH_FILTERS, FETCH_VIEWS, SET_FILTER_COMMON, DO_FILTER_SCRIPT, SET_TABLE_FILTERS, and MAKE_FILTER_TEXT functions in the DBMS_METADATA_INT package; and (h) GET_PREPOST_TABLE_ACT function in the DBMS_METADATA package.
来源:NVD
Oracle Database是一款大型商业数据库系统。 Oracle Database的登录过程实现存在漏洞,远程攻击者可能在登录过程中对服务器进行SQL注入攻击。在登录过程中,协议认证部分由两个步骤组成,包含有两个不同的客户端请求和两个服务器响应。第一个请求(消息代码0x76)仅包含有用户名,而第二个请求(消息代码0x73)包含有用户名和乱码的口令。第二个请求还包含有"名称-值"对列表,描述客户端的各种属性,其中AUTH_ALTER_SESSION值用于创建区域和语言相关的会话属性。这个值中可能包含有
来源:CNNVD
Oracle数据库服务器9.2.0.7和10.1.0.5中的多个未确定漏洞,由Oracle漏洞#确定,包括(a)数据泵组件中的(1)DB05;(2)Oracle文本组件中的(b)DB15;(3)Streams Apply组件中的(c)DB22;(4)Streams Capture组件中的(d)DB23和(5)DB24;(6)Streams Subcomponent中的(e)DB26。 注意:Oracle无法提供详细信息,但它们没有公开否认一个可靠的独立研究者的说法,该说法称,DB05涉及在 DBMS_METADATA_UTIL 包中的(f)LONG2VARCHAR、LONG2VCMAX、LONG2VCNT和LONG2CLOB函数中涉及SQL注入;(g)Make_FILTER、FETCH_VIEWS_ERROR、FETCH_FILTERS、FETCH_VIEWS、SET_FILTER_COMMON、DO_FILTER_SCRIPT、SET_TABLE_FILTERS和MAKE_FILTER_TEXT函数在 DBMS_METADATA_INT 包中;(h)GET_PREPOST_TABLE_ACT函数在 DBMS_METADATA 包中。
来源:神龙机器人
漏洞评分(CVSS)
NVD 暂无评分
来源:NVD
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:神龙机器人, 准确率:N/A
漏洞类别
NVD 暂无漏洞类别信息
来源:NVD
SQL注入
来源:CNNVD
相关链接