VULHUB ™

Oracle\'\'s RDBMS是一款强大的数据库服务程序，支持通过使用PL/SQL存储过程，这些存储过程可以通过Oracle应用服务程序Portal模块访问。Oralce应用服务程序是设计用于Oracle应用的WEB服务程序。 Oralce应用服务程序的多个PL/SQL包和过程存在SQL注入问题，远程攻击者可以利用这个漏洞未授权获得数据库中所有数据。 默认情况下，Oracle应用服务程序允许WEB上的未授权用户访问存储在RDBMS中的PL/SQL包和过程，当PL/SQL过程的执行没有考虑是调用者或是定义者的安全权限。如果PL/SQL过程以\'\'sys\'\'或者\'\'system\'\'定义，未授权低权限用户可以访问本来不能直接访问的数据。由于对用户提交的URL数据缺少充分过滤，结合SQL注入漏洞，可使攻击者访问数据库中的所有数据。如可以获得帐户信息包含用户名和密码HASH值。

Oracle\'\'s RDBMS是一款强大的数据库服务程序，支持通过使用PL/SQL存储过程，这些存储过程可以通过Oracle应用服务程序Portal模块访问。Oralce应用服务程序是设计用于Oracle应用的WEB服务程序。 Oralce应用服务程序的多个PL/SQL包和过程存在SQL注入问题，远程攻击者可以利用这个漏洞未授权获得数据库中所有数据。 默认情况下，Oracle应用服务程序允许WEB上的未授权用户访问存储在RDBMS中的PL/SQL包和过程，当PL/SQL过程的执行没有考虑是调用者或是定义者的安全权限。如果PL/SQL过程以\'\'sys\'\'或者\'\'system\'\'定义，未授权低权限用户可以访问本来不能直接访问的数据。由于对用户提交的URL数据缺少充分过滤，结合SQL注入漏洞，可使攻击者访问数据库中的所有数据。如可以获得帐户信息包含用户名和密码HASH值。