CVSS: 6.8EPSS: 6%CPEs: 6EXPL: 0CVE-2007-2119
https://notcve.org/view.php?id=CVE-2007-2119
Cross-site scripting (XSS) vulnerability in boundary_rules.jsp in the Administration Front End for Oracle Enterprise (Ultra) Search, as used in Database Server 9.2.0.8, 10.1.0.5, and 10.2.0.2, and in Application Server 9.0.4.3, 10.1.2.0.2, and 10.1.2.2.0 allows remote attackers to inject arbitrary HTML or web script via the EXPTYPE parameter, aka SES01. Vulnerabilidad de secuencia de comandos en sitios cruzados (XSS) en boundary_rules.jsp en el Administration Front End para Oracle Enterprise (Ultra) Search, utilizado en Database Server 9.2.0.8, 10.1.0.5, y 10.2.0.2, y en Application Server 9.0.4.3, 10.1.2.0.2, y 10.1.2.2.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro EXTYPE, también conocido como SES01. • http://www.oracle.com/technetwork/topics/security/cpuapr2007-090632.html http://www.red-database-security.com/advisory/oracle_cpu_apr_2007.html http://www.red-database-security.com/advisory/oracle_css_ses.html http://www.securityfocus.com/archive/1/466156/100/0/threaded http://www.securityfocus.com/archive/1/466329/100/200/threaded http://www.securityfocus.com/bid/23532 http://www.securitytracker.com/id?1017927 http://www.us-cert.gov/cas/techalerts/TA07-108A.html http://www&# •
CVSS: 6.8EPSS: 41%CPEs: 5EXPL: 0CVE-2007-2108
https://notcve.org/view.php?id=CVE-2007-2108
Unspecified vulnerability in the Core RDBMS component in Oracle Database 9.0.1.5, 9.2.0.8, 10.1.0.5, and 10.2.0.2 on Windows allows remote attackers to have an unknown impact, aka DB01. NOTE: as of 20070424, Oracle has not disputed reliable claims that this issue occurs because the NTLM SSPI AcceptSecurityContext function grants privileges based on the username provided even though all users are authenticated as Guest, which allows remote attackers to gain privileges. Una vulnerabilidad no especificada en el componente Core RDBMS en Oracle Database versiones 9.0.1.5, 9.2.0.8, 10.1.0.5 y 10.2.0.2 en Windows permite a los atacantes remotos tener un impacto desconocido, también se conoce como DB01. NOTA: a partir de 24-04-2007, Oracle no ha cuestionado las afirmaciones confiables de que este problema se produce porque la función NTLM SSPI AcceptSecurityContext concede privilegios basados en el nombre de usuario proporcionado, aunque todos los usuarios se autentican como invitado, lo que permite el control remoto atacantes para alcanzar privilegios. • http://www.integrigy.com/security-resources/analysis/Integrigy_Oracle_CPU_April_2007_Analysis.pdf http://www.kb.cert.org/vuls/id/809457 http://www.ngssoftware.com/papers/database-on-xp.pdf http://www.ngssoftware.com/research/papers/NGSSoftware-OracleCPUAPR2007.pdf http://www.oracle.com/technetwork/topics/security/cpuapr2007-090632.html http://www.red-database-security.com/advisory/oracle_cpu_apr_2007.html http://www.securityfocus.com/archive/1/466329/100/200/threaded http://www.securityfocus. • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2007-2111
https://notcve.org/view.php?id=CVE-2007-2111
SQL injection vulnerability in the SYS.DBMS_AQADM_SYS package in Oracle Database 9.0.1.5, 9.2.0.7, and 10.1.0.5 allows remote authenticated users to inject arbitrary SQL commands via unknown vectors, aka DB04. NOTE: as of 20070424, Oracle has not disputed reliable claims that DB04 is actually for multiple vulnerabilities. Una vulnerabilidad de inyección SQL en el paquete SYS.DBMS_AQADM_SYS en Oracle Database versiones 9.0.1.5, 9.2.0.7 y 10.1.0.5 permite a los usuarios autenticados remotos inyectar comandos SQL arbitrarios por medio de vectores desconocidos, también se conoce como DB04. NOTA: a partir de 24-04-2007, Oracle no ha cuestionado afirmaciones confiables que DB04 es realmente para múltiples vulnerabilidades. • http://www.integrigy.com/security-resources/analysis/Integrigy_Oracle_CPU_April_2007_Analysis.pdf http://www.ngssoftware.com/research/papers/NGSSoftware-OracleCPUAPR2007.pdf http://www.oracle.com/technetwork/topics/security/cpuapr2007-090632.html http://www.red-database-security.com/advisory/oracle_cpu_apr_2007.html http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aqadm_sys.html http://www.securityfocus.com/archive/1/466329/100/200/threaded http://www.securityfocus.com/bid/23532 h • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.0EPSS: 1%CPEs: 2EXPL: 0CVE-2007-2112
https://notcve.org/view.php?id=CVE-2007-2112
Unspecified vulnerability in the Authentication component for Oracle Database 10.1.0.5 and 10.2.0.3 has unknown impact and attack vectors, aka DB05. NOTE: as of 20070424, Oracle has not disputed reliable claims that this issue allows remote authenticated users to bypass the AUTH_ALTER_SESSION security policies via a logon trigger ("AFTER LOGON ON DATABASE" trigger directive), a related issue to CVE-2006-0547. Vulnerabilidad no especificada en el componente de autenticación para Oracle Database las versiones 10.1.0.5 y 10.2.0.3 tiene un impacto desconocido y vectores de ataque, también se conoce como DB05. NOTA: a partir de 24-04-2007, Oracle no ha cuestionado las afirmaciones confiables de que este problema les permite a los usuarios autenticados remotos omitir las políticas de seguridad AUTH_ALTER_SESSION por medio de un desencadenante de inicio de sesión ("DESPUÉS DE INICIAR SESIÓN" en la directiva de activación), un problema relacionado con CVE-2006-0547. • http://www.integrigy.com/security-resources/analysis/Integrigy_Oracle_CPU_April_2007_Analysis.pdf http://www.ngssoftware.com/research/papers/NGSSoftware-OracleCPUAPR2007.pdf http://www.oracle.com/technetwork/topics/security/cpuapr2007-090632.html http://www.red-database-security.com/advisory/bypass_oracle_logon_trigger.html http://www.red-database-security.com/advisory/oracle_cpu_apr_2007.html http://www.securityfocus.com/archive/1/466151/100/0/threaded http://www.securityfocus.com/archive/1/466329/100&#x •
CVSS: 7.5EPSS: 4%CPEs: 1EXPL: 0CVE-2007-2113
https://notcve.org/view.php?id=CVE-2007-2113
SQL injection vulnerability in the Upgrade/Downgrade component (DBMS_UPGRADE_INTERNAL) for Oracle Database 10.1.0.5 allows remote authenticated users to execute arbitrary SQL commands via unknown vectors, aka DB07. NOTE: as of 20070424, Oracle has not disputed reliable claims that DB07 is actually for multiple issues. Una vulnerabilidad de inyección SQL en el componente de Upgrade/Downgrade (DBMS_UPGRADE_INTERNAL) para la Oracle Database versión 10.1.0.5 permite a los usuarios identificados de forma remota ejecutar comandos SQL arbitrarios por medio de vectores desconocidos, también se conoce como DB07. NOTA: a partir de 24-04-2007, Oracle no ha cuestionado afirmaciones de confianza de que DB07 es en realidad para múltiples problemas. • http://www.integrigy.com/security-resources/analysis/Integrigy_Oracle_CPU_April_2007_Analysis.pdf http://www.ngssoftware.com/research/papers/NGSSoftware-OracleCPUAPR2007.pdf http://www.oracle.com/technetwork/topics/security/cpuapr2007-090632.html http://www.red-database-security.com/advisory/oracle_cpu_apr_2007.html http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_upgrade_internal.html http://www.securityfocus.com/archive/1/466153/100/0/threaded http://www.securityfocus.com/archive/1& • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •