2.10. CVE-2018-11769:Apache CouchDB远程代码执行¶
日期: | 08.08.2018 |
---|---|
影响: | Apache CouchDB 1.x且≤2.1.2 |
严重程度: | 低 |
小贩: | Apache软件基金会 |
2.10.1. 描述¶
CouchDB管理用户可以通过HTTP(S)配置数据库服务器。由于管理员通过HTTP API提供的配置设置验证不足,CouchDB管理员用户可以通过绕过不允许通过HTTP API修改的配置设置的黑名单,将其权限升级到CouchDB运行时所使用的操作系统用户的权限。
此权限提升有效地允许CouchDB管理员用户绕过 CVE-2017-12636 和 CVE-2018-8007 .