2.6. CVE-2012-5650:通过Futon UI基于DOM的跨站点脚本¶
日期: | 14.01.2013 |
---|---|
影响: | ApacheCouchDB 1.0.3、1.1.1和1.2.0版本都存在漏洞。 |
严重程度: | 适度的 |
小贩: | Apache软件基金会 |
2.6.1. 描述¶
传递到基于浏览器的测试套件中的查询参数不会被清除,可以用于加载外部资源。攻击者可以使用远程用户的上下文在浏览器中执行JavaScript代码。
2.6.3. 解决办法¶
通过调整,完全禁用Futon用户界面 local.ini 重新启动CouchDB::
[httpd_global_handlers]
_utils = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}
或者删除UI测试套件组件:
- share/www/verify_install.html
- share/www/couch_tests.html
- share/www/custom_test.html
2.6.4. 确认¶
此漏洞是由以下人员发现并报告给Apache软件基金会的 Frederik Braun .