カーソルインジェクション攻撃

CREATE SESSIONシステム権限以外を持っていないユーザーでも可能な攻撃方法のようです。詳細な資料（PDF形式）が公開されています。

これまで、PL/SQLインジェクションの脆弱性を悪用するには、データベースに対する高い権限が必要になると考えられてきた。NGS Softwareのデータベースセキュリティ専門家であるDavid Litchfield氏は、米国時間3月1日に当地で開催されたイベント「Black Hat DC」で、新しい攻撃手法ならそうした制限も取り払えると話した。