漏洞信息详情
Oracle Forms 执行任意代码漏洞
- CNNVD编号:CNNVD-200507-257
- 危害等级: 高危
- CVE编号: CVE-2005-2372
- 漏洞类型: 未知
- 发布时间: 2005-07-26
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: oracle
- 漏洞来源:
漏洞简介
Oracle Forms是oracle的一个组件。
Oracle Forms 4.5至10g存在执行任意代码漏洞。forms会从任意目录中的可执行文件启动,并以Oracle或System用户身份来执行,攻击者可以通过上传恶意.fmx文件并使用(1)表单中的绝对路径名参数或(2)f90servlet的模块参数执行任意代码。
漏洞公告
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com/technology/products/forms/index.HTML
参考网址
来源: MISC
链接:http://www.red-database-security.com/advisory/oracle_forms_run_any_os_command.HTML
来源: BUGTRAQ
名称: 20050719 Oracle Security Advisory: Run any OS Command via unauthorized Oracle Forms
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112180805413784&w=2
受影响实体
- Oracle Forms:6i
- Oracle Forms:9i
- Oracle Forms:4.5
- Oracle Forms:5.0
- Oracle Forms:6.0
补丁
暂无
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论