2.6. CVE-2012-5650：通过Futon UI基于DOM的跨站点脚本

日期:14.01.2013 影响:ApacheCouchDB 1.0.3、1.1.1和1.2.0版本都存在漏洞。 严重程度:适度的 小贩:Apache软件基金会

2.6.1. 描述

传递到基于浏览器的测试套件中的查询参数不会被清除，可以用于加载外部资源。攻击者可以使用远程用户的上下文在浏览器中执行JavaScript代码。

2.6.2. 缓解

升级到包含此修复程序的受支持CouchDB版本，例如：

• 1.0.4
• 1.1.2
• 1.2.1
• 1.3.x

所有列出的版本都包含了一个特定的修复程序。

2.6.3. 解决办法

通过调整，完全禁用Futon用户界面 local.ini 重新启动CouchDB:：

[httpd_global_handlers]
_utils = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}

或者删除UI测试套件组件：

• share/www/verify_install.html
• share/www/couch_tests.html
• share/www/custom_test.html

2.6.4. 确认

此漏洞是由以下人员发现并报告给Apache软件基金会的 Frederik Braun .