Plataforma
oracle
Componente
navicat-for-oracle
Corrigido em
12.1.16
CVE-2019-25653 é uma vulnerabilidade de negação de serviço (DoS) no Navicat for Oracle. A falha permite que um atacante local cause a falha do aplicativo ao fornecer uma string excessivamente longa no campo de senha durante a configuração da conexão Oracle. A versão afetada é a 12.1.15. Não há correção oficial disponível.
A CVE-2019-25653 afeta o Navicat for Oracle versão 12.1.15, apresentando uma vulnerabilidade de negação de serviço (DoS). Um atacante local pode causar o travamento do aplicativo fornecendo uma string excessivamente longa no campo de senha durante a configuração da conexão com o Oracle. A vulnerabilidade decorre da falta de validação adequada do comprimento da entrada de senha, permitindo que um estouro de buffer cause a falha do programa. Este tipo de ataque pode interromper as operações de administração de banco de dados e impactar a disponibilidade do sistema. Embora o impacto seja limitado a um ataque local, a interrupção do serviço pode ser significativa para os administradores de banco de dados que utilizam o Navicat. A exploração bem-sucedida requer acesso local ao sistema onde o Navicat está em execução.
A exploração da CVE-2019-25653 é relativamente simples. Um atacante local pode simplesmente copiar e colar uma string muito longa (aproximadamente 550 caracteres repetidos) no campo de senha durante a configuração da conexão com o Oracle no Navicat for Oracle 12.1.15. Não é necessário nenhum requisito de autenticação prévio para realizar este ataque, pois ele é executado localmente. A falta de validação do comprimento da entrada de senha é a causa raiz da vulnerabilidade. O atacante não precisa de nenhum conhecimento especializado para explorar esta vulnerabilidade, o que aumenta o risco de ataques oportunistas. A facilidade de exploração torna esta vulnerabilidade uma preocupação para os administradores de banco de dados.
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
Atualmente, não existe uma correção oficial fornecida pelo desenvolvedor para a CVE-2019-25653. A principal mitigação é atualizar para uma versão mais recente do Navicat for Oracle que corrija esta vulnerabilidade, se disponível. Enquanto isso, recomenda-se restringir o acesso local à máquina onde o Navicat é executado, limitando o acesso apenas a usuários autorizados. A implementação de controles de segurança robustos, como a autenticação multifator, pode ajudar a prevenir o acesso não autorizado. Monitorar a atividade do sistema em busca de comportamentos incomuns também pode ajudar a detectar e responder a possíveis ataques. Considere o uso de alternativas ao Navicat for Oracle se a segurança for uma preocupação primordial e não houver uma atualização disponível em curto prazo.
Actualizar Navicat for Oracle a una versión posterior a la 12.1.15 para corregir la vulnerabilidad de denegación de servicio. Consultar el sitio web del proveedor para obtener la última versión disponible.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A versão 12.1.15 é a versão confirmada como vulnerável. Outras versões mais antigas também podem ser suscetíveis.
Não, esta vulnerabilidade requer acesso local ao sistema onde o Navicat está em execução.
Restringir o acesso local à máquina onde o Navicat é executado e monitorar a atividade do sistema são medidas temporárias.
Se você estiver usando o Navicat for Oracle versão 12.1.15, seu sistema é vulnerável.
Desconecte o sistema da rede, investigue a atividade do sistema e considere reinstalar o Navicat a partir de uma fonte confiável.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.