vulfocus CouchDB垂直越权漏洞（CVE-2017-12635）

CDxiaodong

CouchDB 垂直越权漏洞（CVE-2017-12635）
复现：
打开网页

burp 抓包


改包发包，创建新用户


PUT 不行 修改一下包（我 PUT 头没改全）


又报错
只有管理员可以设置角色
再改包
改成两个账户进行绕过
使用新账户登录


漏洞原理：
主要关注改包的过程，所发送的 post 数据为
其中有两个 roles 参数，JavaScript 在解析式会把
“roles”: ["_admin"],
“roles”:[],

解析成为
“roles”:[]
那就意味着 JavaScript 在检测时，检测我们创建的用户 角色＝０ 。无角色，也就不存在权限，
所以没有危害，系统判定为安全，绕过了检测。
接下来在 CouchDB 的 Erlang 部分实现身份验证和授权时，jiffy 实现的时候，getter 函数只返回第
一个值也就是"roles": ["_admin"],
所以创建出了具有 admin 权限的账户
修复：
升级到 CouchDB 1.7.1 或 2.1.1