Informazioni sul CVE-2023-45725
Apache CouchDB, IBM Cloudant: Privilege Escalation Using _design Documents
CWE ID: CWE-200
Base Score (CVSS): N/A
CVE: CVE-2023-45725
Descrizione: Design document functions which receive a user http request object may expose authorization or session cookie headers of the user who accesses the document. These design document functions are: * list * show * rewrite * update An attacker can leak the session component using an HTML-like output, insert the session as an external resource (such as an image), or store the credential in a _local document with an “update” function. For the attack to succeed the attacker has to be able to insert the design documents into the database, then manipulate a user to access a function from that design document. Workaround: Avoid using design documents from untrusted sources which may attempt to access or manipulate request object’s headers
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://lists.apache.org/thread/pqjq9zt8vq9rsobkc1cow9sqm9vozlrg
- https://docs.couchdb.org/en/stable/cve/2023-45725.html
Prodotti interessati
- Apache Software Foundation – Apache CouchDB
- Apache Software Foundation – IBM Cloudant
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache CouchDB
Anno: 2023
CWE: CWE-200
CVSS: 0.0
Produttore:Apache Software Foundation
Prodotto: IBM Cloudant
Anno: 2023
CWE: CWE-200
CVSS: 0.0