Vulnerabilidad en Couchbase Server (CVE-2019-11497)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

10/09/2019

Última modificación:

26/09/2019

Descripción

En Couchbase Server versión 5.0.0, cuando se ingresó un Certificado de clúster remoto no válido como parte de la creación de referencia, XDCR no analizó ni verificó la firma del certificado. Luego aceptó el certificado no válido e intentó usarlo para establecer conexiones futuras al clúster remoto. Esto se ha solucionado en la versión 5.5.0. XDCR ahora verifica la validez del certificado a fondo y evita que se cree una referencia de clúster remoto con un certificado no válido.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

5.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:couchbase:couchbase_server:5.0.0:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.couchbase.com/resources/security#SecurityAlerts