MySQL Eventum存在远程SQL注入和跨站脚本漏洞
受影响系统:MySQL AB Eventum <= 1.5.5。
不受影响系统:MySQL AB Eventum 1.6。
详细描述:Eventum中存在多个SQL注入和跨站脚本漏洞,远程攻击者可能利用这些漏洞非授权访问数据库。
Oracle Reports Server存在多个跨站脚本执行漏洞
受影响系统:Oracle Reports 10g 9.0.2。
详细描述:Oracle Reports Server中存在多个跨站脚本漏洞,远程攻击者可能利用此漏洞执行跨站脚本攻击。
Oracle Reports参数customize可以通过使用绝对或相对文件名读取任意文件。Reports错误消息中会显示部分文件内容。
Oracle Reports Server XML文件泄露漏洞
受影响系统:Oracle Reports 9i/6i 6.0.8.19/6i 6.0.8/6/10g 9.0.4.3.3/10g 9.0.4/10g 9.0.3/10g 9.0.2/10g 9.0.1/10g 9.0。
详细描述:Oracle Reports Server中存在文件泄漏漏洞,远程攻击者可能利用此漏洞读取部分文件内容。起因是服务器在处理特制的HTTP GET命令时没有限制用户访问部分XML文件,攻击者可以利用绝对或相对文件名在Reports错误消息中显示部分文件内容。
Oracle Forms处理临时文件存在敏感信息泄漏漏洞
受影响系统:Oracle Forms 9i/6i/6.0/4.5。
详细描述:Oracle Forms在处理临时文件时存在问题,可能导致敏感信息泄露。
如果Oracle Forms从数据库检索到的记录数超过了“buffered records”参数的话,Oracle Forms就会在应用服务器的临时目录中创建一个临时文件。这个临时文件中包含有Forms中数据库表格(如信用卡)的未加密拷贝。这些临时文件(格式:AAAa
Sybase EAServer WebConsol远程缓冲区溢出漏洞
受影响系统:Sybase Enterprise Application Server 5.2/5.1/5.0/4.2.5/4.2.2/4.2。
详细描述:Sybase EAServer的WebConsole中存在远程溢出漏洞,远程攻击者可能利用此漏洞在服务器上执行任意指令。
成功的攻击可能导致覆盖明确大小的缓冲区溢出,这样就可以以jagsrv.exe进程的权限执行任意代码。
不过,攻击者必须拥有有效的认证凭据才能发动攻击。
Oracle HTTP Server mod_oradav模块访问控制漏洞
受影响系统:Oracle HTTP Server 9.0.2.3、-Oracle9i Application Server 9.0.2.3。
详细描述:Oracle HTTP Server的mod_oradav模块中存在漏洞,攻击者可能利用此漏洞破坏系统数据。这个漏洞与“/dav_public”目录中的访问控制有关,可能允许恶意用户填充目录。目前还不清楚这个漏洞是否有其他安全影响。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1918&categ_code=10041003
