2.3. CVE-2010-3854:Apache CouchDB跨站点脚本问题

日期:28.01.2011
影响:Apache CouchDB 0.8.0到1.0.1
严重程度:重要的
小贩:Apache软件基金会

2.3.1. 描述

Apache CouchDB版本早于版本 1.0.2 易受伤害 Cross Site Scripting (XSS)攻击。

2.3.2. 缓解

所有用户都应该升级到CouchDB 1.0.2 .

升级自 0.11.x0.10.x 系列应该是无缝的。

早期版本的用户应参考升级说明。

2.3.3. 例子

由于在Futon(CouchDB基于web的管理UI)中对请求参数和cookie数据的验证不足,恶意站点可以在用户浏览会话的上下文中执行任意代码。

2.3.4. 信用卡

此XSS问题是由希望匿名的源发现的。