2.14. CVE-2021-38295：Apache CouchDB 权限提升漏洞¶

日期:: 12.10.2021
受影响版本:: 3.1.1 及以下版本
严重程度:: 低
供应商:: Apache 软件基金会

2.14.1. 描述¶

具有在数据库中创建文档权限的恶意用户能够将 HTML 附件附加到文档。如果 CouchDB 管理员在浏览器中打开该附件，例如通过 CouchDB 管理界面 Fauxton，则嵌入在该 HTML 附件中的任何 JavaScript 代码将在该管理员的安全上下文中执行。类似的路径可用于已弃用的 _show 和 _list 功能。

此权限提升漏洞允许攻击者在任何数据库中添加或删除数据，或进行配置更改。

2.14.2. 缓解措施¶

CouchDB 3.2.0 及更高版本为所有附件、_show 和 _list 请求添加了 Content-Security-Policy 标头。这会破坏某些利基用例，并且存在配置选项以恢复需要它的用户的先前行为。

CouchDB 3.1.2 默认使用先前行为，但添加了配置选项以针对所有受影响的请求启用 Content-Security-Policy 标头。

2.14.3. 致谢¶

此问题由 Cory Sabol of Secure Ideas 发现。