怎么理解CVE安全漏洞

這篇文章主要講解了“怎么理解CVE安全漏洞”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“怎么理解CVE安全漏洞”吧！

幾乎oracle的每個季度發布的數據庫補丁Oracle Database Server Risk Matrix一項中都有如下語句描述的安全補丁

This vulnerability is remotely exploitable without authentication, i.e., may be exploited over a network without requiring user credentials. 

這個漏洞在沒有身份驗證的情況下是可以被遠程利用的，例如。，可以在不需要用戶憑證的情況下通過網絡進行利用

This vulnerability is remotely exploitable without authentication

這個漏洞在沒有身份驗證的情況下是可以被遠程利用的

這句話的意思，沒有身份驗證就是沒有某個權限比如沒有DBA權限而只有Create Session權限的情況下，可能繞過正常的授權，而獲取DBA權限。

就是可以繞過正常的用戶身份或者權限認證，所以是漏洞。

比如：僅有查詢權限的用戶可以對數據進行增、刪、改操作，非常危險。

比如：當一個用戶只有EXECUTE_CATALOG_ROLE權限時，因為sql注入，該用戶就可以獲得DBA權限。

CVE#                 Component      Package and/or Privilege Required

CVE-2018-2939        Core RDBMS     Local Logon

CVE-2018-2841        Java VM        Create Session, Create Procedure

CVE-2018-3004        Java VM        Create Session, Create Procedure

CVE-2018-3004和CVE-2018-2841，一個用戶只有Create Session, Create Procedure權限下，就可能繞過正常的權限操作從而獲得更高的權限。

也就是說，一個用戶密碼被人盜了或別人使用這個賬號，別人可以利用這個漏洞提高這個用戶的權限，進而干壞事。

感謝各位的閱讀，以上就是“怎么理解CVE安全漏洞”的內容了，經過本文的學習后，相信大家對怎么理解CVE安全漏洞這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！