MEDIUMCVE-2019-25653CVSS 6.2

CVE-2019-25653 Navicat for Oracle DoS 漏洞 - 影响版本

平台

oracle

组件

navicat-for-oracle

修复版本

12.1.16

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2019-25653 涉及 Navicat for Oracle 12.1.15 中的一个拒绝服务 (DoS) 漏洞。攻击者可以通过在密码字段中输入过长的字符串来触发此漏洞，导致应用程序崩溃。受影响的版本为 12.1.15–12.1.15。由于没有官方补丁，用户应采取其他安全措施。

影响与攻击场景

CVE-2019-25653 影响 Navicat for Oracle 版本 12.1.15，引入了拒绝服务 (DoS) 漏洞。本地攻击者可以通过在 Oracle 连接配置期间将过长的字符串输入到密码字段中，使应用程序崩溃。此漏洞源于对密码输入的长度验证不足，导致缓冲区溢出，从而导致程序失败。这种类型的攻击可能会中断数据库管理操作并影响系统可用性。虽然影响范围仅限于本地攻击，但使用 Navicat 的数据库管理员的服务中断可能会非常严重。成功利用需要对 Navicat 运行的系统进行本地访问。

利用背景

利用 CVE-2019-25653 相对简单。本地攻击者只需将非常长的字符串（约 550 个重复字符）复制并粘贴到 Navicat for Oracle 12.1.15 中 Oracle 连接配置期间的密码字段中即可。无需进行任何先前的身份验证即可执行此攻击，因为它是在本地运行的。密码输入长度验证不足是此漏洞的根本原因。攻击者无需任何专业知识即可利用此漏洞，从而增加了机会主义攻击的风险。易于利用使此漏洞成为数据库管理员的关注点。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.02% (3% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件navicat-for-oracle

供应商Navicat

影响范围修复版本

12.1.15 – 12.1.1512.1.16

弱点分类 (CWE)

CWE-620

时间线

已保留2026-03-30
发布日期2026-03-30
EPSS 更新日期2026-04-06

未修复 — 披露已55天

缓解措施和替代方案

目前，开发人员尚未为 CVE-2019-25653 提供官方修复程序。主要的缓解措施是升级到修复此漏洞的 Navicat for Oracle 的最新版本（如果可用）。在此期间，建议限制对运行 Navicat 的机器的本地访问，仅允许授权用户访问。实施强大的安全控制措施，例如多因素身份验证，可以帮助防止未经授权的访问。监控系统活动以查找异常行为也可以帮助检测和响应潜在攻击。如果安全是首要问题并且短期内没有可用的更新，请考虑使用 Navicat for Oracle 的替代方案。

修复方法

将 Navicat for Oracle 更新到 12.1.15 之后的版本，以修复拒绝服务漏洞。请查阅供应商网站以获取可用的最新版本。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2019-25653 是什么 — Navicat for Oracle 中的 Denial of Service (DoS)？

版本 12.1.15 是确认已受影响的版本。其他较旧的版本也可能存在漏洞。

Navicat for Oracle 中的 CVE-2019-25653 是否会影响我？

不，此漏洞需要对 Navicat 运行的系统进行本地访问。

如何修复 Navicat for Oracle 中的 CVE-2019-25653？

限制对运行 Navicat 的机器的本地访问以及监控系统活动是临时措施。

CVE-2019-25653 是否正在被积极利用？

如果您正在使用 Navicat for Oracle 版本 12.1.15，则您的系统容易受到攻击。

在哪里可以找到 Navicat for Oracle 关于 CVE-2019-25653 的官方安全通告？

将系统从网络断开连接，调查系统活动，并考虑从可信来源重新安装 Navicat。