关键漏洞信息 标题 Oracle Real User Experience Insight rsynclogdird SQL Injection Vulnerability 编号 ZDI-11-016 ZDI-CAN-690 CVE ID CVE-2010-3594 CVSS Score 9.0, AV:N/AC:L/Au:N/C:P/I:P/A:C 受影响的厂商 Oracle 受影响的产品 Oracle Real User Experience Insight 漏洞细节 描述: 此漏洞允许远程攻击者在易受攻击的 Oracle Real User Experience Insight 安装中注入任意 SQL。利用该漏洞无需身份验证。 具体问题: 在处理日志文件的应用程序部分存在特定缺陷。由于在插入到 UTF-8 数据库时字符转义处理不当,用户可以注入引号并执行任意 SQL 语句。 补丁及更新信息 Oracle 已发布更新以修复此漏洞。更多详细信息参见: Oracle 官方公告 披露时间线 2010-02-02: 漏洞报告给厂商 2011-01-18: 协调后的公众公告发布 其他信息 此漏洞也得到了 Trend Micro TippingPoint 产品的保护,具体防护措施可参考 TippingPoint 网站。 贡献者识别码 1c239c43f521145fa8385d64a9c32243