2.12. CVE-2018-8007:Apache CouchDB远程代码执行

日期:30.04.2018
影响:Apache CouchDB的所有版本
严重程度:
小贩:Apache软件基金会

2.12.1. 描述

CouchDB管理用户可以通过HTTP(S)配置数据库服务器。由于管理员通过HTTP API提供的配置设置验证不足,CouchDB管理员用户可以通过绕过不允许通过HTTP API修改的配置设置的后列表,将其权限升级到CouchDB运行的操作系统用户的权限。

此权限提升有效地允许CouchDB管理员用户绕过任意远程代码执行 CVE-2017-12636

2.12.2. 缓解

所有用户都应该升级到CouchDB 1.7.22.1.2 .

从同一系列中以前的1.x和2.x版本升级应该是无缝的。

早期版本的用户或从1.x升级到2.x的用户应咨询升级说明。

2.12.3. 信用卡

这个问题是由弗朗西斯科·奥多发现的 MDSec Labs .