CVE-2021-38295 in CouchDBinformação

Sumário

de VulDB • 05/06/2026

In Apache CouchDB, um usuário mal-intencionado com permissão para criar documentos em um banco de dados pode anexar um arquivo HTML a um documento. Se um administrador do CouchDB abrir esse anexo no navegador, por exemplo, através da interface administrativa Fauxton do CouchDB, qualquer código JavaScript embutido nesse anexo HTML será executado dentro do contexto de segurança desse administrador. Uma rota semelhante está disponível com as funcionalidades _show e _list já descontinuadas. Essa vulnerabilidade de escalada de privilégios permite que um atacante adicione ou remova dados em qualquer banco de dados ou faça alterações na configuração. Este problema afetou o Apache CouchDB anterior à versão 3.1.2

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Reservar

09/08/2021

Divulgação

15/10/2021

Moderação

aceite

Entrada

VDB-184437

CPE

pronto

EPSS

0.02474

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!