01
漏洞描述
Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。
近期,Apache官方发布漏洞消息,称ApacheCouchDB 存在权限提升漏洞。未经身份验证的攻击者可通过 CouchDB 随机打开一个网络端口,并将其绑定到所有可用接口以预期集群操作,从而使名为 epmd 的实用程序进程将该随机端口通告给网络,并在 CouchDB 打包之前为单节点和集群安装选择默认的“cookie”值,导致对不正确的默认安装进行访问并获得管理员权限。
02
漏洞危害
提升攻击者的权限,可以继承Web服务器程序权限,去执行系统命令,执行任意代码。获取企业敏感信息,继承Web服务器权限,读写文件。向网站写WebShell,提权,甚至控制整个网站甚至服务器。
03
影响范围
Apache CouchDB < 3.2.2
04
漏洞等级
严重
06
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Apache CouchDB 权限提升漏洞(CVE-2022-24706)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论