CVE-2021-38295 in CouchDB
Sumário
de VulDB • 05/06/2026
In Apache CouchDB, um usuário mal-intencionado com permissão para criar documentos em um banco de dados pode anexar um arquivo HTML a um documento. Se um administrador do CouchDB abrir esse anexo no navegador, por exemplo, através da interface administrativa Fauxton do CouchDB, qualquer código JavaScript embutido nesse anexo HTML será executado dentro do contexto de segurança desse administrador. Uma rota semelhante está disponível com as funcionalidades _show e _list já descontinuadas. Essa vulnerabilidade de escalada de privilégios permite que um atacante adicione ou remova dados em qualquer banco de dados ou faça alterações na configuração. Este problema afetou o Apache CouchDB anterior à versão 3.1.2
If you want to get best quality of vulnerability data, you may have to visit VulDB.