Plateforme
oracle
Composant
navicat-for-oracle
Corrigé dans
12.1.16
La vulnérabilité CVE-2019-25653, de type DoS, affecte Navicat for Oracle version 12.1.15. Elle permet à un attaquant de provoquer un déni de service. L'exploitation de cette faille peut rendre le service indisponible. Actuellement, aucune mise à jour officielle n'est disponible pour corriger cette vulnérabilité.
La CVE-2019-25653 affecte Navicat for Oracle version 12.1.15, présentant une vulnérabilité de déni de service (DoS). Un attaquant local peut provoquer le plantage de l'application en fournissant une chaîne de caractères excessivement longue dans le champ du mot de passe lors de la configuration d'une connexion Oracle. La vulnérabilité découle d'une validation inadéquate de la longueur de l'entrée du mot de passe, permettant à un débordement de tampon de provoquer la défaillance du programme. Ce type d'attaque peut perturber les opérations d'administration de base de données et affecter la disponibilité du système. Bien que l'impact soit limité à une attaque locale, l'interruption du service peut être significative pour les administrateurs de base de données utilisant Navicat. L'exploitation réussie nécessite un accès local au système où Navicat est en cours d'exécution.
L'exploitation de la CVE-2019-25653 est relativement simple. Un attaquant local peut simplement copier et coller une chaîne de caractères très longue (environ 550 caractères répétés) dans le champ du mot de passe lors de la configuration d'une connexion Oracle dans Navicat for Oracle 12.1.15. Aucune authentification préalable n'est requise pour effectuer cette attaque, car elle s'exécute localement. L'absence de validation de la longueur de l'entrée du mot de passe est la cause première de la vulnérabilité. L'attaquant n'a besoin d'aucune connaissance spécialisée pour exploiter cette vulnérabilité, ce qui augmente le risque d'attaques opportunistes. La facilité d'exploitation fait de cette vulnérabilité une préoccupation pour les administrateurs de bases de données.
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'est fournie par le développeur pour la CVE-2019-25653. L'atténuation principale consiste à mettre à niveau vers une version plus récente de Navicat for Oracle qui corrige cette vulnérabilité, si disponible. En attendant, il est recommandé de restreindre l'accès local à la machine où Navicat s'exécute, en limitant l'accès aux seuls utilisateurs autorisés. La mise en œuvre de contrôles de sécurité robustes, tels que l'authentification multifacteur, peut aider à prévenir les accès non autorisés. La surveillance de l'activité du système à la recherche de comportements inhabituels peut également aider à détecter et à répondre aux attaques potentielles. Envisagez d'utiliser des alternatives à Navicat for Oracle si la sécurité est une préoccupation primordiale et qu'aucune mise à jour n'est disponible à court terme.
Mettez à jour Navicat for Oracle vers une version ultérieure à la 12.1.15 pour corriger la vulnérabilité de déni de service. Consultez le site Web du fournisseur pour obtenir la dernière version disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La version 12.1.15 est la version confirmée comme étant vulnérable. D'autres versions antérieures peuvent également être vulnérables.
Non, cette vulnérabilité nécessite un accès local au système où Navicat est en cours d'exécution.
Restreindre l'accès local à la machine où Navicat s'exécute et surveiller l'activité du système sont des mesures temporaires.
Si vous utilisez Navicat for Oracle version 12.1.15, votre système est vulnérable.
Déconnectez le système du réseau, examinez l'activité du système et envisagez de réinstaller Navicat à partir d'une source fiable.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.