【漏洞预警】Apache CouchDB 权限提升漏洞(CVE-2022-24706)

admin 2022年4月29日00:08:34评论46 views字数 632阅读2分6秒阅读模式

 01


漏洞描述





Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。
它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。
期,Apache官方发布漏洞消息,称ApacheCouchDB 存在权限提升漏洞。未经身份验证的攻击者可通过 CouchDB 随机打开一个网络端口,并将其绑定到所有可用接口以预期集群操作,从而使名为 epmd 的实用程序进程将该随机端口通告给网络,并在 CouchDB 打包之前为单节点和集群安装选择默认的“cookie”值,导致对不正确的默认安装进行访问并获得管理员权限。


 02

漏洞危害


提升攻击者的权限,可以继承Web服务器程序权限,去执行系统命令,执行任意代码。获取企业敏感信息,继承Web服务器权限,读写文件。向网站写WebShell,提权,甚至控制整个网站甚至服务器。

 03

影响范围





Apache CouchDB < 3.2.2


04

漏洞等级

   

严重

 06

修复方案

厂商已发布升级修复漏洞,用户请尽快更新至安全版本。

引用:
https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00















END

长按识别二维码,了解更多


【漏洞预警】Apache CouchDB 权限提升漏洞(CVE-2022-24706)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Apache CouchDB 权限提升漏洞(CVE-2022-24706)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月29日00:08:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache CouchDB 权限提升漏洞(CVE-2022-24706)https://cn-sec.com/archives/960397.html

发表评论

匿名网友 填写信息