Risque
- Injection de code indirecte à distance
Systèmes affectés
Apache CouchDB versions 0.8.0 à 1.0.1.
Résumé
De multiples vulnérabilités permettent à un utilisateur malveillant d'injecter du code à distance de manière indirecte.
Description
Des erreurs non spécifiées par l'éditeur lors de la validation des paramètres des requêtes envoyées à l'interface d'administration Web de CouchDB, « Futon », ainsi que des fichiers de sessions, permettent à un utilisateur malveillant d'injecter du code à distance de manière indirecte.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste de diffusion de l'équipe de développement Apache CouchDB http://mail-archives.apache.org/mod_mbox/couchdb-dev/201101.mbox/<C840F655-C8C5-4EC6-8AA8-DD223E39C34A@apache.org> http://mail-archives.apache.org/mod_mbox/couchdb-dev/201101.mbox/%3CC840F655-C8C5-4EC6-8AA8-DD223E39C34A@apache.org%3E
- Référence CVE CVE-2010-3854 https://www.cve.org/CVERecord?id=CVE-2010-3854
