प्लेटफ़ॉर्म
oracle
घटक
oceanbase
में ठीक किया गया
3.2.4.8
4.2.1.10
4.2.5
4.3.3.2
OceanBase सर्वर में एक विशेषाधिकार वृद्धि भेद्यता पाई गई है, जो Oracle मोड में काम कर रहे टेनेंट को प्रभावित करती है। एक हमलावर, विशिष्ट विशेषाधिकारों के साथ, सावधानीपूर्वक तैयार किए गए कमांड निष्पादित करके SYS-स्तरीय पहुंच प्राप्त कर सकता है। यह भेद्यता OceanBase टेनेंट को प्रभावित करती है जो MySQL मोड में नहीं हैं। संस्करण 3.2.4 से 4.3.4 तक के संस्करण प्रभावित हैं, और 4.3.5 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावर को OceanBase सर्वर के भीतर SYS-स्तरीय विशेषाधिकार प्राप्त करने की अनुमति देती है। SYS-स्तरीय पहुंच के साथ, हमलावर डेटाबेस कॉन्फ़िगरेशन को संशोधित कर सकता है, संवेदनशील डेटा तक पहुंच सकता है, और सिस्टम संसाधनों को नियंत्रित कर सकता है। यह डेटा उल्लंघनों, सेवा व्यवधान और सिस्टम की अखंडता के नुकसान का कारण बन सकता है। चूंकि यह Oracle मोड में टेनेंट को प्रभावित करता है, इसलिए इसका प्रभाव उन संगठनों पर अधिक गंभीर हो सकता है जो Oracle डेटाबेस के साथ OceanBase को एकीकृत करते हैं। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले टेनेंट के भीतर विशिष्ट विशेषाधिकार प्राप्त करने की आवश्यकता होगी, जो इसे कुछ परिदृश्यों में शोषण करना अधिक कठिन बना सकता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी मध्यम गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण संभव है। 2025-07-24 को CVE प्रकाशित किया गया था।
Organizations utilizing OceanBase Server in Oracle tenant mode, particularly those with complex multi-tenant deployments or legacy configurations where privilege separation may be inadequate, are at increased risk. Shared hosting environments where multiple tenants share the same OceanBase instance should also be considered high-priority targets.
• oracle / server:
SELECT user FROM dual WHERE username = 'SYS';• oracle / server:
SELECT privilege FROM dba_tab_privs WHERE grantee = 'YOUR_TENANT_USER';• generic web: Monitor OceanBase server logs for unusual command execution patterns or attempts to access SYS-level resources. • generic web: Review user privilege assignments within the Oracle tenant to identify any accounts with excessive permissions.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
OceanBase सर्वर के संस्करण 4.3.5 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड तत्काल संभव नहीं है, तो Oracle मोड में टेनेंट के लिए विशेषाधिकारों को सीमित करने पर विचार करें। उन उपयोगकर्ताओं को न्यूनतम आवश्यक विशेषाधिकार प्रदान करें। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके SQL इंजेक्शन हमलों को कम करें। OceanBase सर्वर के लॉग की नियमित रूप से निगरानी करें और किसी भी संदिग्ध गतिविधि के लिए अलर्ट सेट करें। WAF (वेब एप्लीकेशन फ़ायरवॉल) का उपयोग करके दुर्भावनापूर्ण कमांड को ब्लॉक करें।
Actualice OceanBase Server a una versión que haya solucionado la vulnerabilidad de escalada de privilegios. Consulte las notas de la versión o el sitio web del proveedor para obtener más información sobre las versiones corregidas y las instrucciones de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-8107 OceanBase सर्वर में एक विशेषाधिकार वृद्धि भेद्यता है जो Oracle मोड में टेनेंट को प्रभावित करती है, जिससे हमलावर SYS-स्तरीय पहुंच प्राप्त कर सकता है।
यदि आप OceanBase सर्वर के संस्करण 3.2.4 से 4.3.4 का उपयोग कर रहे हैं और Oracle मोड में काम कर रहे हैं, तो आप प्रभावित हैं।
OceanBase सर्वर को संस्करण 4.3.5 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो विशेषाधिकारों को सीमित करें और WAF नियमों को लागू करें।
CVE-2025-8107 अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी मध्यम गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है।
OceanBase सर्वर की आधिकारिक सलाह OceanBase वेबसाइट पर उपलब्ध है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।