Apache CouchDB权限提升漏洞（CNVD-2018-15060）

CVE编号

CVE-2018-11769

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-08-09

漏洞描述

CouchDB是用Erlang开发的一套面向文档的数据库系统。
Apache CouchDB 2.2.0之前版本中存在安全漏洞，该漏洞源于程序未能充分的验证管理员通过HTTP API提交的配置设置。攻击者可利用该漏洞绕过配置设置的黑名单，提升至操作系统用户权限，进而执行任意代码。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：
https://lists.apache.org/thread.html/1052ad7a1b32b9756df4f7860f5cb5a96b739f444117325a19a4bf75@%3Cdev.couchdb.apache.org%3E

参考链接
http://www.securityfocus.com/bid/105046
https://lists.apache.org/thread.html/1052ad7a1b32b9756df4f7860f5cb5a96b739f44...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.gentoo.org/glsa/201812-06
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	couchdb	*		Up to (excluding) 2.2.0
	运行在以下环境
	系统	fedora_31	couchdb	*		Up to (excluding) 3.0.0-1.fc31
	运行在以下环境
	系统	fedora_31	couchdb-debuginfo	*		Up to (excluding) 3.0.0-1.fc31
	运行在以下环境
	系统	fedora_31	couchdb-debugsource	*		Up to (excluding) 3.0.0-1.fc31
	运行在以下环境
	系统	fedora_32	couchdb	*		Up to (excluding) 3.0.0-1.fc32
	运行在以下环境
	系统	fedora_32	couchdb-debuginfo	*		Up to (excluding) 3.0.0-1.fc32
	运行在以下环境
	系统	fedora_32	couchdb-debugsource	*		Up to (excluding) 3.0.0-1.fc32
查看完整数据

阿里云评分 1.7

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 管控权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 NVD-CWE-noinfo