2.2. CVE-2010-2234:Apache CouchDB 跨站请求伪造攻击¶
- 日期:
21.02.2010
- 受影响版本:
Apache CouchDB 0.8.0 到 0.11.1
- 严重程度:
重要
- 供应商:
Apache 软件基金会
2.2.1. 描述¶
2.2.2. 缓解措施¶
所有用户应升级到 CouchDB 0.11.2 或 1.0.1。
早期版本的使用者应参考升级说明。
2.2.3. 示例¶
恶意网站可以将任意 JavaScript 代码 POST 到众所周知的 CouchDB 安装 URL(例如 https://127.0.0.1:5984/)并使浏览器在 CouchDB 管理界面 Futon 的安全上下文中执行注入的 JavaScript。
无关紧要的是,此外,JSONP API 默认情况下已关闭,以避免潜在的信息泄露。
2.2.4. 致谢¶
此 CSRF 问题由一个希望保持匿名的来源发现。