Vulnerabilidad en Apache CouchDB (CVE-2023-45725)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/12/2023

Última modificación:

20/12/2023

Descripción

Las funciones de diseño de documentos que reciben un objeto de solicitud http de usuario pueden exponer los encabezados de cookies de sesión o de autorización del usuario que accede al documento. Estas funciones del documento de diseño son: * lista * mostrar * reescribir * actualizar. Un atacante puede filtrar el componente de la sesión utilizando una salida similar a HTML, insertar la sesión como un recurso externo (como una imagen) o almacenar la credencial en un documento local con una función de "actualización". Para que el ataque tenga éxito, el atacante debe poder insertar los documentos de diseño en la base de datos y luego manipular a un usuario para que acceda a una función desde ese documento de diseño. Workaround: evite el uso de documentos de diseño de fuentes no confiables que puedan intentar acceder o manipular los encabezados de los objetos de solicitud.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno