Goby漏洞更新|Apache CouchDB 未认证远程代码执行漏洞 (CVE-2022-24706)

最新推荐文章于 2024-05-11 03:02:16 发布
最新推荐文章于 2024-05-11 03:02:16 发布
阅读量254 收藏
点赞数
分类专栏: 漏洞 weblogic Goby 文章标签: Apache CVE-2022-24706 远程代码执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/130206288
版权
Goby 同时被 3 个专栏收录
181 篇文章 30 订阅
订阅专栏
漏洞
130 篇文章 3 订阅
订阅专栏
weblogic
5 篇文章 0 订阅
订阅专栏

漏洞名称: Apache CouchDB 未认证远程代码执行漏洞 (CVE-2022-24706)

English Name:Apache CouchDB Unauthenticated Remote Code Execution Vulnerability (CVE-2022-24706)

CVSS core: 9.8

影响资产数:2817

漏洞描述:

Apache CouchDB是美国阿帕奇(Apache)基金会的使用Erlang开发的一套面向文档的数据库系统。Apache CouchDB 3.2.2 之前存在访问控制错误漏洞,该漏洞源于攻击者可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限。

漏洞影响:

攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。

FOFA查询语句(点击直接查看结果):

banner=“name couchdb at”

此漏洞已可在Goby漏扫/红队版进行扫描验证

免费获取Goby:Goby社区版免费下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GobyVuls:利用漏洞支持Goby漏洞
05-03
虾虎鱼 Goby的得到了利用的支持。 此文件夹包含各种与goby一起使用的漏洞利用程序。 运行探索 从下载goby并运行。 扫描可能存在该漏洞的ip 点击“验证”按钮 执行诸如执行cmd之类的操作,或获取反向shell 贡献 鼓励并欢迎对此项目的请求和贡献! goby项目始终需要新的漏洞,并且需要有才华的开发人员(例如您自己!)在现有演示崩溃时提交修补程序。 下载 您可以转到官方网站下载 。
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
Apache CouchDB 信息泄露漏洞(CVE-2023-26268)通告 Apache CouchDB 是一个开源的 NoSQL 文档数据库,以基于 JSON 的文档格式收集和存储数据,提供了高可用性和高可靠性。近日,深信服安全团队监测到 Apache ...
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
include_voidmain的博客
07-14 2489
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
2024年Go最全Goby自定义漏洞之EXP_goby写poc(1),蚂蚁金服内推四面
最新发布
2401_84911273的博客
05-11 798
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新如果你需要这些资料,可以戳这里获取 在登录处进行抓包,可以看到登陆的时候发送的post请求,基于http basic认证,并且发送command命令show clock: 如果是没有认证执行这个命令是不会有结果的,如下图:漏洞URL Header部分
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706
云加速
05-01 751
Apachecouchdb官方发布安全通告,公告中修复了一个远程代码执行漏洞漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存..
Apache CouchDB 代码执行漏洞CVE-2022-24706
murphysec的博客
04-27 1433
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。 编号      CVE-2022-24706 标题 Apache CouchDB 代码执行漏洞 描述 Apache CouchDB是一个开源数据库
Apache CouchDB 远程代码执行漏洞CVE-2022-24706
时光不老的博客
11-29 477
Apache CouchDB 数据库,它类似于 Redis,Cassandra 和 MongoDB,也是一个 NOSQL 数据库。CouchDB 将数据存储为非关系性的 JSON 文档。 Apache CouchDB 官方发布安全通告,公告中修复了一个远程代码执行漏洞漏洞编号 CVE-2022-24706,可导致远程攻击者获得管理员权限等危害。
couchdb-docker:Apache CouchDB Docker
02-03
couchdb-docker:Apache CouchDB Docker
couchdb-fauxton:Apache CouchDB
02-03
福顿Fauxton是CouchDB的新Web UI。 要使其在您的计算机上的开发中运行。... 分叉此仓库(有关详细信息,请参见) 克隆你的叉子: git clone https://github.com/YOUR-USERNAME/couchdb-fauxton.git
apache-couchdb-2.3.1.msi
07-22
CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。术语 “Couch” 是 “Cluster Of Unreliable Commodity Hardware” 的首字母缩写,它反映了 CouchDB...
每日一漏洞cve-2022-24706
jjjj1029056414的博客
07-14 245
复现cve-2022-24706CouchDB Erlang代码执行
Apache CouchDB 代码执行漏洞(CVE-2022-24706 )批量POC
苏落is菜鸡的博客
06-11 1903
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。...
漏洞复现】CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
m0_53121608的博客
07-13 586
漏洞复现】CVE-2022-24706 CouchDB Erlang 分布式协议代码执行
自动化漏洞扫描工具Goby介绍、下载、使用、插件、功能
热门推荐
huangjun的博客
06-08 1万+
漏洞页面中右上角点击+POC即可自定义POC。PoC管理两个页面,一个是漏洞信息,一个是测试。先来看看这三个输入框,名称、查询规则、等级。以Apache Kylin config 授权配置泄露漏洞为例。名称是这个Poc的漏洞名称,比如Apache Kylin config 授权配置泄露。查询规则app=Apache Kylin config。(这里的规则可以参考fofa语句)。等级分为严重,高危,中危,低危。再来看看测试页面。再来配置下请求包HTTP请求方法:GET。
Goby 漏洞发布Ivanti Connect Secure 和 Policy Secure keys-status 远程命令执行漏洞CVE-2023-46805/CVE-2024-21887)
m0_46699477的博客
01-18 865
Ivanti 是一家软件和信息技术服务公司,专注于提供用于 IT 管理、安全、服务管理和终端管理等方面的解决方案。Ivanti Connect Secure 和 Ivanti Policy Secure 是 Ivanti 公司提供的两个安全性解决方案的组成部分,主要用于网络安全和连接性管理。
网络攻防——Goby+AWVS漏洞扫描
weixin_46560512的博客
03-10 8067
Goby+AWVS漏洞扫描1.什么是AWVS2.AWVS的靶场环境搭建2.靶场搭建3.利用AWVS扫描靶场2.近期使用kali遇到的坑 1.什么是AWVS     AWVS(全称Acunetix Web Vulnerability Scanner)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,如跨站脚本、sql 注入等。给出学习相关资源网盘链接(2022版免激活版AWVS安装包,包含相关教程): 链接:https://pan.baidu.com/s/1t7oHK4_9j6t
Goby自定义漏洞之EXP
m0_46699477的博客
11-06 5775
前言:自定义漏洞配合EXP,提高漏洞的利用速度,简直是爽的飞起!自从HVV的时候Goby发布HVV专版,羡慕死了,就是太菜没傍上红方大佬的腿。虽然最终用上了HVV专版,但是一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编写PoC或者是EXP。因为Goby没有开源,所以也能编写一些基于http命令执行漏洞!特别感谢Goby的大佬——帅帅的涛哥支持 0x001 最终效果 直接获取明文密码,点击验证。 0x001 编写流程 我在《自定义PoC对接插件》一文中已经介绍过了如何编写自定义P..
CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706) vulhub漏洞复现
qq_53003652的博客
07-19 385
由于Erlang的特性,其支持分布式计算,分布式节点之间通过Erlang/OTP Distribution协议进行通信。攻击者如果知道通信时使用的Cookie,即可在握手包通过认证执行任意命令。使用如下poc,该poc可以通过目标的4369端口epmd服务获取集群通信的端口,就是9100,再使用默认Cookie来控制节点执行任意命令。在CouchDB 3.2.1及以前版本中,使用了默认Cookie,值为“monster”。不过不用管,此漏洞只经过4369和9100。执行该poc可进行任意命令执行
CouchDB常用的漏洞利用方法
05-27
以下是一些常用的 CouchDB 漏洞利用方法: 1. 授权访问漏洞:如果 CouchDB 正确配置,攻击者可以轻易地访问和控制 CouchDB 服务器,从而获取敏感信息或造成破坏。 2. 认证绕过漏洞:攻击者可以利用某些漏洞或弱口令等方式,绕过身份验证机制,从而访问和控制 CouchDB 服务器。 3. 注入漏洞:攻击者可以向 CouchDB 服务器发送恶意数据,利用注入漏洞执行任意代码,从而控制服务器。 4. 配置错误漏洞:如果 CouchDB 服务器的配置存在错误,攻击者可以利用这些错误,绕过安全措施,访问和控制 CouchDB 服务器。 5. 拒绝服务攻击漏洞:攻击者可以通过发送大量的恶意请求,或利用某些漏洞,让 CouchDB 服务器崩溃或无法响应,从而导致服务停止或数据丢失。 总之,为了保护 CouchDB 服务器的安全,需要加强对服务器的安全管理和监控,及时修补安全漏洞,提高人员的安全意识和技能。此外,建议使用更加安全的身份验证机制,例如 OAuth、LDAP 等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值