Vulnérabilité critique dans Apache CouchDB
Date de publication :
CVE-2022-24706[Score CVSS v3.1 : 9.8] (critique)
Une faille concernant le contrôle d'accès a été découverte dans une installation d’Apache CouchDB. La vulnérabilité provient d’une configuration par défaut mal sécurisée. En envoyant une requête spécialement forgée, un attaquant peut exploiter cette vulnérabilité pour élever ses privilèges afin d'exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1 : 9.8 (critique)
La faille est activement exploitée
- Oui
Un correctif existe
- Oui
Une mesure de contournement existe
- Oui
Les vulnérabilités exploitées sont du type
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
- La version 3.2.1 d’Apache CouchDB est affectée par cette vulnérabilité.
Solutions ou recommandations
Mettre Apache CouchDB à jour aux versions 3.2.2 et suivantes.
Des mesures de contournement existent. Des informations complémentaires concernant celles-ci sont disponibles ici.