2.3. CVE-2010-3854：Apache CouchDB 跨站脚本攻击问题

日期:

28.01.2011

受影响版本:

Apache CouchDB 0.8.0 到 1.0.1

严重程度:

重要

供应商:

Apache 软件基金会

2.3.1. 描述

Apache CouchDB 版本早于 1.0.2 版本，容易受到 跨站脚本攻击 (XSS) 的攻击。

2.3.2. 缓解措施

所有用户都应升级到 CouchDB 1.0.2。

从 0.11.x 和 0.10.x 系列升级应该是无缝的。

使用早期版本的用户应参考升级说明。

2.3.3. 示例

由于 CouchDB 的基于 Web 的管理 UI Futon 中对请求参数和 cookie 数据的验证不足，恶意网站可以在用户浏览会话的上下文中执行任意代码。

2.3.4. 致谢

此 XSS 问题由一个希望保持匿名的来源发现。