一、 漏洞 CVE-2018-15728 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Couchbase Server exposed the '/diag/eval' endpoint, which is defaulted to available on TCP/8091 and/or TCP/18091. 具有 '完全管理员' 角色的 authenticated 用户可以将任意 Erlang 代码发送到 API 的 '/diag/eval' 端点,然后该代码将在底层操作系统上以用于启动 Couchbase 的用户权限执行。受影响的版本:4.0.0, 4.1.2, 4.5.1, 5.0.0, 4.6.5, 5.0.1, 5.1.1, 5.5.0, 5.5.1。修复版本:6.0.0, 5.5.2。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Couchbase Server exposed the '/diag/eval' endpoint which by default is available on TCP/8091 and/or TCP/18091. Authenticated users that have 'Full Admin' role assigned could send arbitrary Erlang code to the 'diag/eval' endpoint of the API and the code would subsequently be executed in the underlying operating system with privileges of the user which was used to start Couchbase. Affects Version: 4.0.0, 4.1.2, 4.5.1, 5.0.0, 4.6.5, 5.0.1, 5.1.1, 5.5.0, 5.5.1. Fix Version: 6.0.0, 5.5.2
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Couchbase Server 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Couchbase Server是美国Couchbase公司的一款分布式的开源NoSQL(非关系型)数据库,它主要支持数据查询、全文检索和主动全局复制等功能。 Couchbase Server中存在代码注入漏洞。攻击者可通过向REST API的 diag/eval 端点发送任意的Erlang代码利用该漏洞以运行Couchbase服务器用户的权限在底层操作系统上执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-15728 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2018-15728 的情报信息