Apache CouchDB 远程代码执行漏洞预警（CVE-2022-24706）

2022-04-28

一、概要

近日，华为云关注到Apache CouchDB官方发布安全公告，披露在 Apache CouchDB 3.2.2 之前的版本中存在一处远程代码执行漏洞（CVE-2022-24706）。由于CouchDB的默认安装配置存在缺陷，攻击者可以利用该缺陷在没有身份认证的情况下访问特定端口并获得管理员权限，最终可导致远程代码执行。

Apache CouchDB 是一个开源的面向文档的NoSQL数据库。华为云提醒使用Apache CouchDB的用户及时安排自检并做好安全加固。

参考链接：https://docs.couchdb.org/en/stable/cve/2022-24706.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache CouchDB< 3.2.2

安全版本：

Apache CouchDB>= 3.2.2

四、漏洞处置

1、目前官方已发布修复版本修复了该漏洞，请受影响的用户升级到安全版本：

https://couchdb.apache.org/

2、根据官方建议在所有CouchDB安装之前使用防火墙。完整的CouchDB api可在注册端口`5984`上使用，这是唯一单节点安装需要公开的端口。并将CouchDB分发端口开放给可信IP访问。

注：修复漏洞前请将资料备份，并进行充分测试。