Vulnerabilidad en Oracle Database Server (CVE-2023-22071)

Vulnerabilidad en el componente PL/SQL de Oracle Database Server. Las versiones compatibles que se ven afectadas son 19.3-19.20 y 21.3-21.11. Una vulnerabilidad fácilmente explotable permite que un atacante con privilegios elevados que tenga privilegios de Create Session y ejecutar en sys.utl_http con acceso a la red a través de Oracle Net comprometa PL/SQL. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en PL/SQL, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada de algunos datos accesibles de PL/SQL, así como un acceso de lectura no autorizado a un subconjunto de datos accesibles de PL/SQL y la capacidad no autorizada de causar una denegación parcial de servicio (parcial). DOS) de PL/SQL. CVSS 3.1 Puntuación base 5,9 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L).