CVE-2021-38295

**Nome do software vulnerável e versões afetadas:

Versões do Apache CouchDB anteriores à 3.1.2

Descrição:

Um usuário mal-intencionado com permissão para criar documentos em um banco de dados pode anexar um arquivo HTML a um documento. Se um administrador do CouchDB abrir esse anexo em um navegador, qualquer código JavaScript incorporado nesse anexo HTML será executado dentro do contexto de segurança desse administrador. Essa vulnerabilidade permite que um invasor adicione ou remova dados em qualquer banco de dados ou faça alterações de configuração.

Recomendações:

Para versões anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a anexos HTML na interface de administração do CouchDB, Fauxton, para minimizar o risco de exploração. Evite usar as funcionalidades obsoletas show e list até que o problema seja resolvido.