2. 安全问题 / CVE

• 2.1. CVE-2010-0009: Apache CouchDB 定时攻击漏洞
• 2.2. CVE-2010-2234: Apache CouchDB 跨站请求伪造攻击
• 2.3. CVE-2010-3854: Apache CouchDB 跨站脚本攻击问题
• 2.4. CVE-2012-5641: 通过 Windows 上 URL 中未转义的反斜杠泄露信息
• 2.5. CVE-2012-5649: 使用 Adobe Flash 的 JSONP 任意代码执行
• 2.6. CVE-2012-5650: 通过 Futon UI 的基于 DOM 的跨站脚本攻击
• 2.7. CVE-2014-2668: 通过 /_uuids 的 count 参数进行 DoS（CPU 和内存消耗）
• 2.8. CVE-2017-12635: Apache CouchDB 远程权限提升
• 2.9. CVE-2017-12636: Apache CouchDB 远程代码执行
• 2.10. CVE-2018-11769: Apache CouchDB 远程代码执行
• 2.11. CVE-2018-17188: Apache CouchDB 远程权限提升
• 2.12. CVE-2018-8007: Apache CouchDB 远程代码执行
• 2.13. CVE-2020-1955: Apache CouchDB 远程权限提升
• 2.14. CVE-2021-38295: Apache CouchDB 权限提升
• 2.15. CVE-2022-24706: Apache CouchDB 远程权限提升
• 2.16. CVE-2023-26268: Apache CouchDB: 通过 couchjs 进程共享信息
• 2.17. CVE-2023-45725: Apache CouchDB: 使用设计文档进行权限提升

3. 报告 Apache CouchDB 的新安全问题

Apache 软件基金会积极采取措施消除针对 Apache CouchDB 的安全问题和拒绝服务攻击。

我们强烈建议您在公开论坛披露之前，先将此类问题报告给我们的私人安全邮件列表。

请注意，安全邮件列表仅用于报告 Apache CouchDB 中未公开的安全漏洞，并管理修复此类漏洞的过程。我们无法在此地址接受常规错误报告或其他查询。发送到此地址的所有与 Apache CouchDB 源代码中未公开的安全问题无关的邮件将被忽略。

如果您需要报告不是未公开安全漏洞的错误，请使用 错误报告页面。

关于

• 如何安全地配置 CouchDB

• 漏洞是否适用于您的特定应用程序

• 获取已发布漏洞的更多信息

• 补丁和/或新版本的可用性

应向 用户邮件列表 提出。请参阅 邮件列表页面，了解如何订阅的详细信息。

私人安全邮件地址为：security@couchdb.apache.org

请阅读 Apache 软件基金会如何处理安全 报告，了解可以期待什么。

请注意，所有联网服务器都容易受到拒绝服务攻击，我们无法承诺对通用问题（例如客户端向您的服务器流式传输大量数据或重复请求同一个 URL）提供神奇的解决方法。一般来说，我们的理念是避免任何可能导致服务器以非线性关系消耗资源的攻击，而与输入的大小无关。