2.6. CVE-2012-5650：通过 Futon UI 的 DOM 跨站点脚本攻击

日期:

14.01.2013

受影响版本:

Apache CouchDB 版本 1.0.3、1.1.1 和 1.2.0 及更早版本存在漏洞。

严重程度:

中等

供应商:

Apache 软件基金会

2.6.1. 描述

传递到基于浏览器的测试套件的查询参数未经清理，可用于加载外部资源。攻击者可以使用远程用户的上下文在浏览器中执行 JavaScript 代码。

2.6.2. 缓解措施

升级到包含此修复程序的受支持的 CouchDB 版本，例如

• 1.0.4

• 1.1.2

• 1.2.1

• 1.3.x

所有列出的版本都包含一个特定的修复程序。

2.6.3. 变通方案

通过修改 local.ini 并重新启动 CouchDB，完全禁用 Futon 用户界面

[httpd_global_handlers]
_utils = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}

或者删除 UI 测试套件组件

• share/www/verify_install.html

• share/www/couch_tests.html

• share/www/custom_test.html

2.6.4. 感谢

此漏洞由 Frederik Braun 发现并报告给 Apache 软件基金会。