2.6. CVE-2012-5650:通过Futon UI基于DOM的跨站点脚本

日期

14.01.2013

影响

ApacheCouchDB 1.0.3、1.1.1和1.2.0版本都存在漏洞。

严重程度

适度的

小贩

Apache软件基金会

2.6.1. 描述

传递到基于浏览器的测试套件中的查询参数不会被清除,可以用于加载外部资源。攻击者可以使用远程用户的上下文在浏览器中执行JavaScript代码。

2.6.2. 缓解

升级到包含此修复程序的受支持CouchDB版本,例如:

所有列出的版本都包含了一个特定的修复程序。

2.6.3. 解决办法

通过调整,完全禁用Futon用户界面 local.ini 重新启动CouchDB::

[httpd_global_handlers]
_utils = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}

或者删除UI测试套件组件:

  • share/www/verify_install.html

  • share/www/couch_tests.html

  • share/www/custom_test.html

2.6.4. 确认

此漏洞是由以下人员发现并报告给Apache软件基金会的 Frederik Braun .