2.2. CVE-2010-2234:Apache CouchDB跨站点请求伪造攻击¶
日期: | 21.02.2010 |
---|---|
影响: | apachecouchdb 0.8.0到0.11.1 |
严重程度: | 重要的 |
小贩: | Apache软件基金会 |
2.2.1. 描述¶
Apache CouchDB版本早于版本 0.11.1 易受伤害 Cross Site Request Forgery (CSRF)攻击。
2.2.3. 例子¶
恶意网站可以 POST 任意JavaScript代码到众所周知的CouchDB安装url(比如http://localhost:5984/)并使浏览器在CouchDB的管理接口Futon的安全上下文中执行注入的JavaScript。
与此无关,但除此之外,jsonpapi在默认情况下已被关闭,以避免潜在的信息泄漏。
2.2.4. 信用卡¶
这个CSRF问题是由一个希望匿名的消息来源发现的。