2.5. CVE-2012-5649:JSONP使用Adobe Flash执行任意代码

日期:14.01.2013 影响:如果启用了JSP 1.0.1和On1.0.1版，则会有漏洞。 严重程度:适度的 小贩:Apache软件基金会

2.5.1. 描述

手工编制的JSONP回调和响应可以通过adobeflash在客户端浏览器中运行任意代码。

2.5.2. 缓解

升级到包含此修复程序的受支持CouchDB版本，例如：

• 1.0.4
• 1.1.2
• 1.2.1
• 1.3.x

所有列出的版本都包含了一个特定的修复程序。

2.5.3. 解决办法

禁用JSONP或不启用它，因为它在默认情况下是禁用的。