2.2. CVE-2010-2234:Apache CouchDB跨站点请求伪造攻击

日期

21.02.2010

影响

apachecouchdb 0.8.0到0.11.1

严重程度

重要的

小贩

Apache软件基金会

2.2.1. 描述

Apache CouchDB版本早于版本 0.11.1 易受伤害 Cross Site Request Forgery (CSRF)攻击。

2.2.2. 缓解

所有用户都应该升级到CouchDB 0.11.21.0.1 .

升级自 0.11.x0.10.x 系列应该是无缝的。

早期版本的用户应参考升级说明。

2.2.3. 例子

恶意网站可以 POST 任意JavaScript代码到众所周知的CouchDB安装url(比如http://localhost:5984/)并使浏览器在CouchDB的管理接口Futon的安全上下文中执行注入的JavaScript。

与此无关,但除此之外,jsonpapi在默认情况下已被关闭,以避免潜在的信息泄漏。

2.2.4. 信用卡

这个CSRF问题是由一个希望匿名的消息来源发现的。