• CWE-619: Dangling Database Cursor ('Cursor Injection')

Wenn ein Datenbank-Cursor nicht ordnungsgemäß geschlossen wird, kann er für andere Benutzer zugänglich bleiben und dabei die ursprünglich zugewiesenen Privilegien beibehalten, was zu einem “dangling cursor” führt.

CWE-619: Dangling Database Cursor ('Cursor Injection')

CWE ID: 619
Name: Dangling Database Cursor (‘Cursor Injection’)

Beschreibung

Wenn ein Datenbank-Cursor nicht ordnungsgemäß geschlossen wird, kann er für andere Benutzer zugänglich bleiben und dabei die ursprünglich zugewiesenen Privilegien beibehalten, was zu einem “dangling cursor” führt.

Erweiterte Beschreibung

Ein fehlerhafter, “dangling” Cursor kann beispielsweise durch nicht behandelte Exceptions entstehen. Die Auswirkungen dieses Problems hängen von der Rolle des Cursors ab, jedoch sind häufig SQL Injection Attacks möglich.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Schließen Sie Cursors unmittelbar nachdem der Zugriff darauf abgeschlossen ist. Stellen Sie sicher, dass Cursors auch im Falle von Exceptions geschlossen werden.

Detaillierter Hintergrund

Ein Cursor ist eine Funktion in Oracle PL/SQL und anderen Sprachen, die einen Handle für die Ausführung und den Zugriff auf die Ergebnisse von SQL-Abfragen bereitstellt.