2.5. CVE-2012-5649:JSONP使用Adobe Flash执行任意代码

日期

14.01.2013

影响

如果启用了JSP 1.0.1和On1.0.1版,则会有漏洞。

严重程度

适度的

小贩

Apache软件基金会

2.5.1. 描述

手工编制的JSONP回调和响应可以通过adobeflash在客户端浏览器中运行任意代码。

2.5.2. 缓解

升级到包含此修复程序的受支持CouchDB版本,例如:

所有列出的版本都包含了一个特定的修复程序。

2.5.3. 解决办法

禁用JSONP或不启用它,因为它在默认情况下是禁用的。