Apache CouchDB < 1.0.4 / 1.1.2 / 1.2.1 多個弱點
medium Nessus Plugin ID 63642
語系:
概要
遠端資料庫伺服器可能受到多個弱點的影響。說明
根據其標題,遠端主機上執行的 CouchDB 版本為 1.0.4 之前的版本、1.1.2 之前的 1.1.x 版,或是 1.2.1 之前的 1.2.x 版。因此可能受到以下弱點影響:- 隨附的 MochiWeb HTTP 程式庫存在一個不明錯誤,可允許透過目錄遊走攻擊存取任意檔案。請注意,據報只有 Windows 主機上的安裝項目會受此問題影響。
(CVE-2012-5641)
- 存在一個與 JSONP 回呼相關的錯誤,可允許不明的跨網站指令碼攻擊。(CVE-2012-5649)
- 存在一個與不明查詢參數和 Futon UI 相關的輸入驗證錯誤,其可允許 DOM 型跨網站指令碼攻擊。(CVE-2012-5650)
請注意,Nessus 並未實際測試這些瑕疵,而是僅依據 CouchDB 標題上的版本。
解決方案
升級至 CouchDB 1.0.4 / 1.1.2 / 1.2.1 或更新版本。另請參閱
https://www.securityfocus.com/archive/1/525297/30/0/threaded
https://www.securityfocus.com/archive/1/525299/30/0/threaded
https://www.securityfocus.com/archive/1/525300/30/0/threaded
Plugin 詳細資訊
嚴重性: Medium
ID: 63642
檔案名稱: couchdb_1_2_1.nasl
版本: 1.8
類型: remote
系列: Databases
已發布: 2013/1/22
已更新: 2019/12/4
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.8
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2012-5649
弱點資訊
CPE: cpe:/a:apache:couchdb
必要的 KB 項目: Settings/ParanoidReport, www/couchdb
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/1/14
弱點發布日期: 2013/1/14