DBMS_JVM_EXP_PERMS paketi JAVA paketlerini dışa aktarma yetkilerinin yönetimi için kullanılmaktadır ve PUBLIC kullanıcı tarafından çalıştırılabilmektedir. Paket içinde bulunan IMPORT_JVM_PERMS yordamı kullanılarak, saldırgan kendi politika tablosunu oluşturabilmektedir. İkinci açıklık ise, DBMS_JAVA paketinde bulunan SET_OUTPUT_TO_JAVA ve SET_OUTPUT_TO_SQL yordamlarında tespit edilmiş bir SQL enjeksiyonu açıklığıdır. Başarılı bir saldırı sonucu, saldırgan DBA yetkilerine sahip olabilir.
Etki:
Yetki Artırımı
Çözüm:
Halen herhangi bir yama yayınlanmamıştır. İlgili paketlerin PUBLIC kullanıcısı tarafından çalıştırılmaması sağlanmalıdır. SQL enjeksiyonu içeren yordamlarda yada çalıştırma öncesi gönderilen parametre değerlerinde gerekli girdi kontrolü geçici olarak eklenebilir.
Yüksek