一、 漏洞 CVE-2022-32563 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Couchbase Sync Gateway 3.x 之前版本3.0.2中发现了一个问题。在使用X.509客户端证书验证从Sync Gateway 到Couchbase Server时,管理员密码验证未进行验证。当Sync Gateway 配置为使用X.509客户端证书与Couchbase Server进行验证时,向Admin REST API提供的管理员密码被忽略了,导致未验证的用户权限升级。此问题不会对公共REST API产生影响。一种 workaround 是将其替换为基于X.509证书的验证,在启动配置中。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Couchbase Sync Gateway 3.x before 3.0.2. Admin credentials are not verified when using X.509 client-certificate authentication from Sync Gateway to Couchbase Server. When Sync Gateway is configured to authenticate with Couchbase Server using X.509 client certificates, the admin credentials provided to the Admin REST API are ignored, resulting in privilege escalation for unauthenticated users. The Public REST API is not impacted by this issue. A workaround is to replace X.509 certificate based authentication with Username and Password authentication inside the bootstrap configuration.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Couchbase Sync Gateway 信任管理问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Couchbase Sync Gateway是美国Couchbase公司的一款用于通过Web进行数据访问和数据同步的安全Web网关。 Couchbase Sync Gateway 3.0.2 版本之前的 3.x 版本存在安全漏洞,该漏洞源于使用从 Sync Gateway 到 Couchbase Server 的 X.509 客户端证书身份验证时,不会验证管理员凭据。当 Sync Gateway 配置为使用 X.509 客户端证书对 Couchbase Server 进行身份验证时,提供给 Admin R
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信任管理问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-32563 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
