漏洞名称:
Apache CouchDB 远程代码执行漏洞
组件名称:
Apache CouchDB
影响范围:
Apache CouchDB <= 3.2.1
漏洞类型:
远程代码执行
😁利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成远程代码执行。
漏洞分析
1 组件介绍
Apache CouchDB 是一个开源数据库。它是一个使用 JSON 作为存储格式,JavaScript 作为查询语言,MapReduce 和 HTTP作为 API 的面向文档的 NoSQL 数据库。
2 漏洞描述
近日,深信服安全团队监测到一则 Apache CouchDB 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2022-24706,漏洞威胁等级:高危。
该漏洞是由于 CouchDB 默认安装配置存在缺陷,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终获取服务器最高权限。
影响范围
Apache CouchDB 是一个开源的面向文档的数据库管理系统。本次漏洞出现于 CouchDB 默认安装的情况下,危害较大,需要持续关注。
目前受影响的 Apache CouchDB 版本:
Apache CouchDB <= 3.2.1
解决方案
1 如何检测组件系统版本
直接访问 CouchDB 的 5984 接口即可获取到版本信息。
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
参考链接
时间轴
2022/4/28 深信服监测到 Apache CouchDB 远程代码执行漏洞信息。
2022/4/28 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Apache CouchDB 远程代码执行漏洞CVE-2022-24706
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论