CVE-2001-1217 (CNNVD-200112-129)
中文标题:
Oracle 9i应用服务器PL/SQL Apache模块目录遍历漏洞
英文标题:
Directory traversal vulnerability in PL/SQL Apache module in Oracle Oracle 9i Application Server all...
漏洞描述
中文描述:
Oracle 9i应用服务器基于Apache Web服务器,支持SOAP、PL/SQL、XSQL、JSP等环境。 PL/SQL Apache module for Oracle 9iAS提供了对数据库访问描述符的远程管理和帮助页。 此程序模块存在输入验证错误,可以使远程攻击者遍历主机上的目录,读取任意有权限读取的文件。 由于Oracle PL/SQL Apache模块对用户提交的请求进行了二次解码,攻击者可以通过提交包含二次编码的"../"(%252F..%252F)的请求给服务器,就可能遍历主机的目录,读取任意文件。这个问题只存在于Microsoft Windows NT/2000操作系统,然而因为Apache进程是以SYSTEM权限运行的,所以攻击者基本上可以通过Web读取任意文件。 <*链接:http://archives.neohapsis.com/archives/bugtraq/2001-12/0225.html http://otn.oracle.com/deploy/security/pdf/modplsql.pdf *>
英文描述:
Directory traversal vulnerability in PL/SQL Apache module in Oracle Oracle 9i Application Server allows remote attackers to access sensitive information via a double encoded URL with .. (dot dot) sequences.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| oracle | application_server | 1.0.2 | - | - |
cpe:2.3:a:oracle:application_server:1.0.2:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:N/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2001-1217 |
2025-11-11 15:17:22 | 2025-11-11 07:32:14 |
| NVD | nvd_CVE-2001-1217 |
2025-11-11 14:50:27 | 2025-11-11 07:41:00 |
| CNNVD | cnnvd_CNNVD-200112-129 |
2025-11-11 15:08:40 | 2025-11-11 07:48:47 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200112-129
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 5.0
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:N/A:N
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']