La CVE-2023-26268 concerne une vulnérabilité de gravité moyenne dans Apache CouchDB, qui est un système de gestion de base de données qui se concentre sur la facilité d’utilisation et le fait d’être « une base de données qui embrasse complètement le web ». Il est développé par la Apache Software Foundation.
Cette vulnérabilité particulière affecte les versions 3.3.1 et inférieures, ainsi que 3.2.2 et inférieures de Apache CouchDB.
La vulnérabilité concerne le partage d’un environnement JavaScript mutable entre des documents de conception ayant des identifiants de document correspondants, provenant de bases de données sur le même cluster.
Cela se produit lors de l’utilisation de ces fonctions de document de conception :
- validate_doc_update
- list
- filter
- filter views (utilisation des fonctions de vue comme filtres)
- rewrite
- update
Cela n’affecte pas les fonctions d’index map/réduce ou de recherche (Dreyfus).
Pour atténuer cette vulnérabilité, les versions CouchDB 3.3.2 et 3.2.3 et suivantes correspondent aux processus d’exécution JavaScript par les noms de base de données en plus des identifiants de document de conception lors du traitement des fonctions de document de conception affectées.
Comme solution de contournement, il est recommandé d’éviter d’utiliser des documents de conception provenant de sources non fiables qui pourraient tenter de mettre en cache ou de stocker des données dans l’environnement JavaScript.
Sources:
NVD CVE 2023-26268: https://nvd.nist.gov/vuln/detail/CVE-2023-26268
