CouchDB未授权访问漏洞

于 2024-08-06 09:34:24 发布
阅读量141 收藏 2
点赞数 5
文章标签: couchdb CouchDB未授权访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68186313/article/details/140934134
版权

CouchDB未授权访问漏洞

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的MySQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse.用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)
在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api1修改couchdb的配置query_.server,这个配置项在设计、执行view的时候将被运行。默认端口是6984

1、使用以下语句在Fofa上进行资产收集..或开启Vulhub靶场进行操作

使用虚拟机开启靶场

2、执行未授权访问测试命令

浅秋沐玖
关注
CouchDB授权访问漏洞记录(端口:5984、6984,CVE-2017-12635,CVE-2017-12636)复现失败
墨痕诉清风的博客
11-23 1229
Apache CouchDB是一个开源数据库,专注于易用性和成为”完全拥抱web的数据库”。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部⻔的市场框架,Meebo,用在其社交平台(web和应用程序),默认会在5984端口开放Restful的API接口口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。...
Redis授权访问漏洞
周星星的博客
08-22 1556
Redis授权访问漏洞复现以及利用
Linux的X11授权访问漏洞,CouchDB授权访问漏洞导致系统命令执行
weixin_42390092的博客
05-13 2346
阅读:3,860一个配置不当导致CouchDB数据库存在授权访问漏洞,数据信息全部泄露,由于CouchDB的特性可能导致系统命令执行,目前已经被批量利用了!【背景介绍】CouchDB是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问CouchDB 可以安装在大部分 POSIX 系统上,包括 Linux...
CouchDB 授权访问漏洞
玄道的网安博客
07-04 1377
前言 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序),默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。其HTTP Serve
授权访问CouchDB 授权访问漏洞
最新发布
qq_68163788的博客
05-18 546
Apache CouchDB是一个开源数据库,应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序),默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。 其HTTP Server默认开启时没有进行验证,而且绑定在0.0.0.0,所有用户均可通过API访问导致授权访问
CouchDB 授权访问漏洞总结
qq_45746681的博客
10-05 1207
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、CouchDB 授权访问漏洞是什么?二、复现1.搭建环境2.漏洞反弹shell的exp防御方法 前言 复现常见的授权访问漏洞 加强理解 一、CouchDB 授权访问漏洞是什么? Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其
利用CouchDB授权访问漏洞执行任意系统命令
3569
12-01 2960
0x00 前言 5月16日阿里云盾攻防对抗团队从外部渠道获知CouchDB数据库存在授权访问漏洞(在配置不正确的情况下)。经过测试,云盾团队率先发现利用该授权访问漏洞不仅会造成数据的丢失和泄露,甚至可执行任意系统命令。云盾安全专家团队第一时间完成了漏洞上报、安全评级,并通知了所有可能受影响的用户。下面将对该漏洞的出处和技术细节做详细解释。 http://static.hx99.net/
授权访问漏洞
snowy_y的博客
06-23 936
授权访问
授权访问漏洞总结
墨鱼菜鸡
07-28 325
目录 一、MongoDB 授权访问漏洞 二、Redis 授权访问漏洞 三、Memcached 授权访问漏洞CVE-2013-7239 四、JBOSS 授权访问漏洞 五、VNC 授权访问漏洞 六、Docker 授权访问漏洞 七、ZooKeeper 授权访问漏洞 八、Rsync ...
Couchdb 任意命令执行漏洞(CVE-2017-12636)
weixin_44311721的博客
07-30 1454
Couchdb 任意命令执行漏洞(CVE-2017-12636) Couchdb简介: Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的...
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
include_voidmain的博客
07-14 2673
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
一枚不知名的Java程序猿
10-02 981
vulhub漏洞复现学习过程
13 - vulhub - Couchdb 任意命令执行漏洞(CVE-2024-12636)
04-16 856
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。基本上主流的和经典的都有,这里我就不放图了,版权问题,个人看看是没有问题的。
CouchDB漏洞复现
weixin_44259979的博客
10-07 820
CouchDB漏洞复现
漏洞复现----50、Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
七天
07-08 1597
Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
Couchdb 任意命令执行漏洞(CVE-2017-12636)复现
HEAVEN569的博客
06-21 1174
Couchdb 任意命令执行漏洞(CVE-2017-12636)复现
揭秘web漏洞:九大授权访问案例深度解析
在【99-web漏洞挖掘之授权访问漏洞1】一文中,作者深入探讨了授权访问漏洞在多个IT系统中的关键性和常见案例。文章首先聚焦于系统服务的授权访问,列举了包括Redis、MongoDB、ZooKeeper、Elasticsearch、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值