漏洞关键信息 漏洞名称: SQL Injection Vulnerability in Oracle APEX CHECK_DB_PASSWORD CVE编号: CVE-2007-3860 风险等级: Medium CVSS基础评分: 7.5/10 CVSS子评分: - 影响子评分: 6.4/10 - 保密性影响: Partial - 完整性影响: Partial - 可用性影响: Partial - 可利用性子评分: 10/10 - 攻击复杂度: Low - 认证要求: No required 漏洞描述: - Oracle APEX 函数存在SQL注入漏洞。该函数在未对用户密码进行输入验证的情况下使用 命令来更改数据库用户密码,这是Oracle PL/SQL编程中的一个典型错误。 - 从APEX 3.0.1版本开始,Oracle对用户密码进行了长度检查(最多30个字符),并在运行时检查是否包含特殊字符(如chr(34)),以防止SQL注入。 受影响产品: - APEX 3.0.0及以下版本。通过升级到APEX 3.0.1或更高版本即可解决此漏洞。 历史: - 2007年5月7日,Oracle安全警报收到通知。 - 2007年5月7日,确认漏洞。 - 2007年6月29日,Oracle发布APEX 3.0.1版本。 - 2007年7月17日,Oracle发布2007年7月的CPU(Critical Patch Update)并建议升级到3.0.1。 - 2007年7月17日,Red-Database-Security发布了此漏洞通告。