Apache CouchDB < 1.0.4 / 1.1.2 / 1.2.1 の複数の脆弱性

medium Nessus プラグイン ID 63642

Language:

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受ける可能性があります。

説明

バナーによると、リモートホストで実行されている CouchDB のバージョンが、1.0.4 より前、または 1.1.2 より前の 1.1.x、あるいは 1.2.1 より前の 1.2.x です。このため、以下の脆弱性の影響を受ける可能性があります。

- 含まれている MochiWebHTTP ライブラリに、詳細不明なエラーが存在しています。これにより、ディレクトリトラバーサル攻撃で任意のファイルへのアクセスが行われる可能性があります。注意：この問題は、Windows ホスト上のインストールのみに影響を与えることが報告されています。
(CVE-2012-5641)

- JSON コールバックに関連したエラーにより、詳細不明なクロスサイトスクリプティング攻撃を引き起こす可能性があります。(CVE-2012-5649)

- 詳細不明なクエリパラメーターおよび Futon UI に関連した、入力検証エラーが存在しています。これにより、DOM ベースのクロスサイトスクリプティング攻撃が引き起こす可能性があります。(CVE-2012-5650)

注意：Nessus では、実際には、これらの欠陥をテストしておらず、その代わりに CouchDB のバナーに表示されるバージョンを頼りにしています。