PT-2021-23676 · Couchbase · Couchbase Server
Publicado
2021-11-02
·
Atualizado
2021-11-08
·
CVE-2021-42763
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Couchbase Server versões 6.6.2 e anteriores
Couchbase Server versões 7.x anteriores à 7.0.2
Descrição
O problema ocorre quando o gerenciador de cluster encaminha uma solicitação HTTP da interface de usuário plugável para o serviço específico. No backtrace, o cabeçalho de autenticação básica incluído na solicitação HTTP contém as credenciais de usuário
@ do nó que processa a solicitação da interface de usuário. Isso resulta no armazenamento de informações confidenciais em texto simples.Recomendações
Para as versões 6.6.2 e anteriores do Couchbase Server, atualize para a versão 6.6.3 ou posterior.
Para as versões 7.x do Couchbase Server anteriores à 7.0.2, atualize para a versão 7.0.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à interface de usuário plugável para minimizar o risco de exploração.
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Couchbase Server