支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2020-9039 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Couchbase Server 的某些版本中,projector 和 indexer 的 REST 端点存在不安全的权限问题,允许未经身份验证的访问。

## 影响版本
- 4.0.0
- 4.1.0
- 4.1.1
- 4.5.0
- 4.5.1
- 4.6.0 - 4.6.5
- 5.0.0
- 5.1.1
- 5.5.0
- 5.5.1

## 细节
`/settings` REST 端点由 projector 进程暴露,可用于执行各种任务,例如更新配置和收集性能配置文件。该端点原本未经过身份验证,现在已更新为仅允许经过身份验证的用户访问这些管理 API。

## 影响
未经身份验证的用户可能会访问和使用管理 API,导致潜在的配置更改和性能数据泄露。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞涉及Couchbase Server多个版本中的projector和indexer REST端点的安全权限配置不当,允许未经过身份验证的访问。这属于服务端的安全漏洞,因为它暴露了服务器上敏感的管理功能接口,可能导致未经授权的用户执行管理操作或获取敏感信息。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Couchbase Server 4.0.0, 4.1.0, 4.1.1, 4.5.0, 4.5.1, 4.6.0 through 4.6.5, 5.0.0, 5.1.1, 5.5.0 and 5.5.1 have Insecure Permissions for the projector and indexer REST endpoints (they allow unauthenticated access).The /settings REST endpoint exposed by the projector process is an endpoint that administrators can use for various tasks such as updating configuration and collecting performance profiles. The endpoint was unauthenticated and has been updated to only allow authenticated users to access these administrative APIs.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Couchbase Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Couchbase Server是美国Couchbase公司的一款分布式的开源NoSQL(非关系型)数据库,它主要支持数据查询、全文检索和主动全局复制等功能。 Couchbase Server中存在安全漏洞。攻击者可利用该漏洞获取访问权限。以下产品及版本受到影响:4.0.0版本,4.1.0版本,4.1.1版本,4.5.0版本,4.5.1版本,4.6.0版本至4.6.5版本,5.0.0版本,5.1.1版本,5.5.0版本,5.5.1版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-9039 的公开POC
#POC 描述源链接神龙链接
1Couchbase Server versions 4.0.0, 4.1.0, 4.1.1, 4.5.0, 4.5.1, 4.6.0-4.6.5, 5.0.0, 5.1.1, 5.5.0, and 5.5.1 contain insecure permissions for the projector and indexer REST endpoints caused by unauthenticated access, letting attackers access administrative APIs without authentication, exploit requires no special conditions. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-9039.yamlPOC详情
三、漏洞 CVE-2020-9039 的情报信息
四、漏洞 CVE-2020-9039 的评论
匿名用户
2026-01-15 06:08:29

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论