PT-2021-16723 · Couchbase · Couchbase Server
Publicado
2021-05-10
·
Atualizado
2021-05-24
·
CVE-2021-25645
CVSS v3.1
4.4
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Couchbase Server anteriores à 6.0.5
Versões do Couchbase Server 6.1.x a 6.5.x anteriores à 6.5.2
Versões do Couchbase Server 6.6.x anteriores à 6.6.1
Descrição
Foi descoberta uma falha no Couchbase Server em que um usuário interno com privilégios de administrador, @ns server, vaza credenciais em texto simples nos arquivos cbcollect info.log, debug.log, ns couchdb.log, indexer.log e stats.log. A atualização do produto não corrige automaticamente os vazamentos que ocorreram no passado.
Recomendações
Para versões anteriores à 6.0.5, atualize para a versão 6.0.5 ou posterior.
Para versões 6.1.x a 6.5.x anteriores à 6.5.2, atualize para a versão 6.5.2 ou posterior.
Para versões 6.6.x anteriores à 6.6.1, atualize para a versão 6.6.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos arquivos de log para minimizar o risco de exploração.
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Couchbase Server