Couchbase Alerts

CVE	Sinopsis	Impacto (CVSS)	Productos	Afecta a la versión	Versión fija	Fecha de publicación
CVE-2025-49015	.NET SDK v3.7.1 y anteriores podían omitir la verificación del nombre de host del certificado En .NET SDK v3.7.1 y versiones anteriores, la verificación del nombre de host para certificados TLS no se aplicaba correctamente en todos los casos.	Medio (4.9)	SDK .NET de Couchbase	3.7.0, 3.6.x, 3.5.x, 3.4.x, 3.3.x, 3.2.x, 3.1.x, 3.0.x	3.7.1	Junio de 2025
CVE-2024-30171 CVE-2024-29857 CVE-2024-30172	Actualiza Bouncy Castle a 1.79 Se ha descubierto un problema en las API de criptografía Java de Bouncy Castle anteriores a la versión 1.78. Se puede producir un bucle infinito de código de verificación Ed25519 mediante una firma y una clave pública falsificadas.	Medio (6.9)	Servidor Couchbase	Servidor 7.6.5, 7.6.4, 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.6, 7.2.7	Mayo de 2025
CVE-2025-46619	Vulnerabilidad de inclusión local de archivos identificada en Couchbase Server para Windows Se ha descubierto un problema de seguridad en Couchbase Server para Windows que podría permitir el acceso no autorizado a archivos confidenciales en el sistema. Dependiendo del nivel de privilegios, esta vulnerabilidad puede conceder acceso a archivos como / etc / passwd o / etc / shadow.	Alta (8.7)	Servidor Couchbase	Servidor 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.6.4, 7.2.7	Abril de 2025
CVE-2024-21235	Actualizar JDK a 17.0.13 Esta vulnerabilidad es difícil de explotar, pero permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer potencialmente los productos afectados. Una explotación exitosa podría resultar en actualizaciones no autorizadas, inserciones o eliminaciones de datos accesibles, así como acceso de lectura no autorizado a ciertos subconjuntos de datos.	Medio (4.8)	Servidor Couchbase	Servidor 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.4, 7.2.7	Abril de 2025
CVE-2024-56178	Creación no autorizada de un usuario con funciones elevadas Un usuario con el rol security_admin_local podría crear un nuevo usuario en un grupo que tiene el rol 'admin', otorgando potencialmente privilegios elevados más allá de los permisos previstos.	Medio (6.9)	Servidor Couchbase	Servidor 7.6.3, 7.6.2, 7.6.1, 7.6.0	Servidor 7.6.4	Diciembre de 2024
CVE-2024-21094 CVE-2024-21011 CVE-2024-21068 CVE-2024-21012	Actualizar JDK a 17.0.11 La vulnerabilidad permite a los atacantes no autenticados con acceso a la red a través de múltiples protocolos para comprometer Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition datos accesibles.	Bajo (3.7)	Servidor Couchbase	Servidor 7.6.1, 7.6.0, 7.2.5 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.2, 7.2.6	Agosto de 2024
CVE-2016-2183 CVE-2016-6329	Puertos de gestión de clúster vulnerables a la vulnerabilidad SWEET32. Los cifrados DES y Triple DES, utilizados en los protocolos TLS, SSH e IPSec y en otros protocolos y productos, tienen un límite de cumpleaños de aproximadamente cuatro mil millones de bloques, lo que facilita a los atacantes remotos la obtención de datos en texto claro mediante un ataque de cumpleaños contra una sesión cifrada de larga duración, como demuestra una sesión HTTPS que utiliza Triple DES en modo CBC, también conocido como ataque "Sweet32".	Alta (8.7)	Servidor Couchbase	Servidor 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x 4.x 3.x, 2.x	Servidor 7.6.0, 7.2.6	Agosto de 2024
CVE-2024-25673	Vulnerabilidad de manipulación de encabezados. El encabezado Host de una solicitud HTTP entrante se copiaba ciegamente en el encabezado Location.	Medio (4.2)	Servidor Couchbase	Servidor 7.6.1, 7.6.0, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.6.2, 7.2.6	Agosto de 2024
CVE-2024-37034	Las credenciales se negocian con KV utilizando SCRAM-SHA cuando el cifrado de enlace remoto está configurado para HALF. SDK negociará con SCRAM-SHA por defecto, lo que permite a un MITM negociar credenciales PLAIN.	Medio (5.9)	Servidor Couchbase	Servidor 7.6.0, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.1, 7.2.5	Julio de 2024
CVE-2024-0519	Actualizar v8 a 12.1.285.26. El acceso a memoria fuera de los límites en V8 en Google Chrome anterior a 120.0.6099.224 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.	Alta (8.8)	Servidor Couchbase	Servidor 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.6.2, 7.2.5	Julio de 2024
CVE-2023-50782	Actualizar pyca-cryptography a 42.0.5. Se ha encontrado un fallo en el paquete python-cryptography. Este problema puede permitir a un atacante remoto descifrar mensajes capturados en servidores TLS que utilizan intercambios de claves RSA, lo que puede dar lugar a la exposición de datos confidenciales o sensibles.	Alta (7.5)	Servidor Couchbase	Servidor 7.6.1, 7.6.0	Servidor 7.6.2, 7.2.5	Julio de 2024
CVE-2023-49338	Se ha accedido al punto final de estadísticas del servicio de consultas sin autenticación. El endpoint Query stats no implementaba la autenticación correcta, lo que permitía ver la información de las estadísticas.	Medio (5.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.4	Enero de 2024
CVE-2023-45873	Usuario con rol de Lector de Datos podría OOM matar el Servicio de Datos. Un usuario con el privilegio de Lector de Datos podría matar el Servicio de Datos enviando GetKeys solicitando un alto número de documentos, desencadenando un error Out-of-Memory (OOM).	Medio (6.5)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Servidor 7.2.4	Enero de 2024
CVE-2023-45874	Los lectores de datos podrían DOS los hilos lectores. Un usuario con el rol de Lector de Datos podría bloquear un hilo lector del Servicio de Datos durante un tiempo significativo solicitando un elevado número de claves y potencialmente bloquear todos los hilos lectores emitiendo el mismo comando en múltiples conexiones.	Medio (4.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Servidor 7.2.4	Enero de 2024
CVE-2023-43769	Puertos de servicio RMI no autenticados expuestos en el servicio de análisis. Los puertos de red 9119 y 9121 eran puertos de servicio RMI no autenticados alojados por el servicio Analytics, lo que podía dar lugar a una escalada de privilegios.	Crítica (9.1)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.2.4	Enero de 2024
CVE-2023-50437	otpCookie se ha mostrado a un usuario con rol Full Admin en los puntos finales de la API serverGroups y engageCluster2 del Cluster Manager. La otpCookie del clúster se filtró a los usuarios con el rol Full Admin en el punto final de la API serverGroups y tanto Cluster Admin como Full Admin en el punto final de la API engageCluster2. Esto podría utilizarse para elevar privilegios.	Alta (8.6)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.4	Enero de 2024
CVE-2023-49931	Las llamadas SQL++ cURL a / diag / eval no estaban suficientemente restringidas. La llamada a cURL a través de SQL++ (N1QL) utilizando el servicio de consultas al punto final localhost's / diag / eval no se impedía completamente.	Alta (8.6)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Servidor 7.2.4	Enero de 2024
CVE-2023-49932	Problema de implementación de restricciones de host SQL++ N1QL cURL. La protección cURL allowlist de SQL++ (N1QL) en el Servicio de Consulta, no era suficiente para prevenir el acceso a hosts restringidos.	Medio (5.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Servidor 7.2.4	Enero de 2024
CVE-2023-49930	Las llamadas SQL++ cURL a diag eval no estaban suficientemente restringidas. No se impedía completamente la llamada a cURL mediante SQL++ (N1QL) a través del servicio de eventos al punto final diag eval del host local.	Alta (8.6)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.5.x	Servidor 7.2.4	Enero de 2024
CVE-2023-50436	El usuario interno Full Admin para las credenciales de gestión del clúster se filtró al archivo de registro. Un evento de registro provocó que las credenciales de administración internas de @ns_server se filtraran codificadas en diag.log.	Bajo (2.1)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.6, 7.1.5	Servidor 7.2.4	Enero de 2024
CVE-2024-23302	Clave privada TLS filtrada en el archivo de registro XDCR. La clave privada utilizada para la replicación entre centros de datos (XDCR) se filtró en goxdcr.log.	Bajo (2.1)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.5.x	Servidor 7.2.4	Enero de 2024
CVE-2023-38545	Actualice cURL a la versión 8.4.0. El fallo en curl hace que se desborde un buffer basado en heap en el handshake del proxy SOCKS5.	Crítica (9.8)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Servidor 7.2.4	Enero de 2024
CVE-2023-5678	Actualice a OpenSSL 3.1.4. Las aplicaciones que utilizan las funciones DH_generate_key() para generar una clave DH X9.42 y las aplicaciones que utilizan DH_check_pub_key(), DH_check_pub_key_ex() o EVP_PKEY_public_check() para comprobar una clave DH X9.42 o parámetros DH X9.42 pueden experimentar grandes retrasos. Si la clave o los parámetros que se están comprobando se han obtenido de una fuente no fiable, puede producirse una denegación de servicio.	Medio (5.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.4	Enero de 2024
CVE-2023-44487	Actualice gRPC a v1.58.3. El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.3, 7.1.6	Noviembre de 2023
CVE-2023-44487	Actualiza Golang a 1.20.10. El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.3, 7.1.6	Noviembre de 2023
CVE-2023-0464	Actualice a OpenSSL 1.1.1u. Una vulnerabilidad en OpenSSL relacionada con la verificación de cadenas de certificados X.509 que incluyen restricciones de políticas, que permitiría a los atacantes ser capaces de explotar esta vulnerabilidad mediante la creación de una cadena de certificado malicioso que desencadena un uso exponencial de los recursos computacionales, lo que lleva a un ataque de denegación de servicio (DoS) en los sistemas afectados.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.1, 7.1.5	Noviembre de 2023
CVE-2022-41723	Actualización de GoLang a 1.19.9. Un flujo HTTP/2 malicioso podría causar un consumo excesivo de CPU en el decodificador HPACK, suficiente para causar una denegación de servicio a partir de un pequeño número de pequeñas peticiones.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.1, 7.1.5	Noviembre de 2023
CVE-2023-3079 CVE-2023-2033	Actualizar V8 a 11.4.185.1. La confusión tipográfica en V8 en Google Chrome anterior a 114.0.5735.110 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.	Alta (8.0)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.1, 7.1.5	Noviembre de 2023
CVE-2023-21930 CVE-2023-21954 CVE-2023-21967 CVE-2023-21939 CVE-2023-21938 CVE-2023-21937 CVE-2023-21968	Actualiza OpenJDK a 11.0.19. Actualice OpenJDK a la versión 11.0.19 para resolver numerosas CVE.	Alta (7.4)	Servidor Couchbase	Servidor 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Servidor 7.1.5	Noviembre de 2023
CVE-2023-36667	Problema de seguridad de Windows traversal. La interfaz de usuario de Windows de Couchbase Server permite a un atacante recorrer el sistema de archivos y mostrar los archivos a los que Couchbase tiene acceso. Esta vulnerabilidad no requiere autenticación. Se puede explotar simplemente añadiendo carpetas/archivos a la URL de la interfaz de administración de Couchbase Server.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.1, 7.1.5	Noviembre de 2023
CVE-2023-43768	Los usuarios no autenticados pueden hacer que memcached se quede sin memoria. Un usuario malintencionado puede colapsar fácilmente un servidor memcached conectándose al servidor y comenzando a enviar comandos de gran tamaño.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Servidor 7.2.1, 7.1.5	Noviembre de 2023
CVE-2023-45875	Fuga de clave privada en debug.log al añadir nodo pre-7.0 a cluster 7.2. La clave privada se filtra a debug.log al añadir un nodo pre-7.0 al cluster 7.2.	Medio (4.4)	Servidor Couchbase	Servidor 7.2.0	Servidor 7.2.1	Noviembre de 2023
CVE-2022-41881 CVE-2022-41915	Actualice Netty a 4.1.86.Final o superior. En versiones anteriores a la 4.1.86.Final, puede producirse un error StackOverflowError al analizar un mensaje malformado debido a una recursión infinita.	Bajo (2.2)	Servidor Couchbase	Servidor 6.6.6, 7.0.5, 7.1.3	Servidor 7.2.0, 7.1.4	Mayo de 2023
CVE-2023-28470	El punto final nsstats de búsqueda de texto completo (FTS) es accesible sin autenticación. El punto final de estadísticas FTS en / api / nsstats no implementa la autenticación correcta, por lo que es posible ver los nombres de los buckets de Couchbase Server, los nombres de los índices FTS y la configuración de los índices FTS sin autenticación. El contenido de los cubos y los índices no están expuestos.	Medio (5.3)	Servidor Couchbase	Servidor 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Servidor 7.1.4	Marzo de 2023
CVE-2023-25016	Las credenciales pueden filtrarse a los registros si se produce una caída durante la unión de un nodo. Durante un fallo de unión de nodos, las credenciales no redactadas del usuario que realiza la solicitud REST pueden filtrarse en los archivos de registro.	Medio (6.3)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.1.2, 7.0.5, 6.6.6	Enero de 2023
CVE-2022-42951	Couchbase Cluster Manager carece de controles de acceso durante el reinicio de un nodo del cluster. Durante el arranque de un nodo servidor couchbase hay un breve periodo de tiempo en el que la cookie de seguridad se establece en "nocookie", que carece de controles de acceso sobre el protocolo de distribución Erlang. Si un atacante se conecta a este protocolo durante este periodo, puede ejecutar código arbitrario remotamente en cualquier nodo del cluster en cualquier momento hasta que su conexión sea interrumpida. El código ejecutado se ejecutará con los mismos privilegios que el servidor Couchbase.	Crítica (9.8)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 7.1.2, 7.0.5, 6.6.6	Enero de 2023
CVE-2022-42004 CVE-2022-42003	Actualización de Jackson Databind a 2.13.4.2+ como se utiliza en el Servicio de Análisis para resolver vulnerabilidades. Se puede producir un agotamiento de recursos del servicio Couchbase Analytics debido a la falta de una comprobación para evitar el uso de matrices anidadas profundamente.	Alta (7.5)	Servidor Couchbase	Servidor 7.1.2, 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1 6.6.0 6.5.x, 6.0.x, 5.x, 4.x	Servidor 7.1.3, 7.0.5, 6.6.6	Enero de 2023
CVE-2022-42950	Una solicitud HTTP maliciosa a la API REST puede provocar una OOM del servicio de copia de seguridad. Un cuerpo de solicitud HTTP extremadamente grande (o sin límites) puede provocar que el servicio de copia de seguridad cause un error OOM (out-of-memory).	Medio (4.9)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.1.2, 7.0.5	Enero de 2023
CVE-2022-1096	Actualización del motor Javascript V8 a 10.7.x. Se ha actualizado el motor Javascript v8 utilizado en el servicio de eventos del servidor Couchbase, el motor View, XDCR y las UDF N1QL, ya que existe una confusión de tipos en las versiones anteriores a la 99.0.4844.84 que permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una solicitud manipulada.	Alta (8.8)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.1.2, 7.0.5	Enero de 2023
CVE-2021-41561	Actualización de Apache Parquet a 1.12.3. Un atacante puede utilizar archivos Parquet, como los utilizados opcionalmente por el Servicio de Análisis Couchbase, para causar una Denegación de Servicio (DoS) si los archivos maliciosos contienen valores inapropiados en la cabecera de la página del archivo (por ejemplo, valores negativos donde se espera un valor positivo). Esto se resuelve actualizando la librería Apache Parquet a una versión posterior.	Alta (7.5)	Servidor Couchbase	Servidor 7.1.1, 7.1.0	Servidor 7.1.2	Noviembre de 2022
CVE-2022-37026	Actualización de Erlang a la versión 24.3.4.4. Cuando se utiliza la característica tls/ssl en el servidor couchbase, es posible saltarse la autenticación del cliente en ciertas situaciones. Específicamente, cualquier aplicación que utilice el servidor ssl/tls/dtls, y la opción de certificación de cliente "{verify, verify_peer}" están afectadas por esta vulnerabilidad. Se han publicado correcciones en las pistas soportadas con los parches 23.3.4.15, 24.3.4.2, y 25.0.2 del runtime erlang/OTP. Sólo están afectados los clusters que utilizan autenticación basada en certificados.	Crítica (9.8)	Servidor Couchbase	Servidor 7.1.1, 7.1.0	Servidor 7.1.2	Noviembre de 2022
CVE-2022-32556	La clave privada se filtra a los archivos de registro con ciertas caídas. Algunos fallos poco frecuentes pueden provocar que la clave privada del certificado generado se filtre a los archivos de registro.	Medio (6.3)	Servidor Couchbase	Servidor 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x	Servidor 7.1.1, 7.0.4, 6.6.6	Julio de 2022
CVE-2022-24675 CVE-2022-23772 CVE-2022-24921	Actualización de GoLang a un mínimo de 1.17.9 o 1.18.1. Actualizado el lenguaje de programación Go y las librerías asociadas utilizadas en múltiples servicios de Couchbase Server a las versiones 1.17.9+ o 1.18.1+ para resolver numerosas CVEs.	Alta (7.5)	Servidor Couchbase	Servidor 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5x, 6.0.x, 5.x, 4.x	Servidor 7.1.1, 7.0.5, 6.6.6	Julio de 2022
CVE-2020-36518	Actualización de la biblioteca jackson-databind a la versión 2.13.2.2. jackson-databind, antes de 2.13.0 permite una excepción Java StackOverflow y denegación de servicio a través de una gran profundidad de objetos anidados. Esta biblioteca es utilizada por el servicio de análisis del servidor Couchbase.	Medio (6.5)	Servidor Couchbase	Servidor 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Servidor 7.1.1, 7.0.4, 6.6.6	Julio de 2022
CVE-2022-1292	Actualización de openssl a 1.1.1o. Actualizado openssl para corregir un fallo en un componente de openssl, c_rehash. Este script escanea directorios y toma un valor hash de cada archivo .pem y .crt en el directorio. A continuación, crea enlaces simbólicos para cada uno de los archivos nombrados por el valor hash. Tiene un defecto que permite la inyección de comandos en el script.	Crítica (9.8)	Servidor Couchbase	Servidor 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 7.1.1, 7.0.4, 6.6.6	Julio de 2022
CVE-2022-34826	La frase de contraseña de la clave privada cifrada puede filtrarse en los registros. En Couchbase Server 7.1.0 y posteriores es posible proporcionar una frase de contraseña a Couchbase Server para desbloquear una clave privada TLS encriptada. Esta frase de contraseña se filtró en los archivos de registro como una cadena codificada en Base64 cuando uno de los servicios Couchbase, que no sea el Servicio de Datos, se estaba iniciando. Esto afecta al Servicio de Índices, al Servicio de Consultas, al Servicio de Análisis, al Servicio de Copias de Seguridad y al Servicio de Eventos si se utiliza la función opcional de cifrado de claves TLS. Tenga en cuenta que un atacante necesita tener acceso a los registros, así como a la clave privada, para poder realizar ataques tales como realizar un ataque de intermediario o descifrar la comunicación de red. El uso de protecciones del sistema operativo para restringir el acceso a estos archivos puede ser una estrategia de mitigación eficaz.	Medio (4.4)	Servidor Couchbase	Servidor 7.1.0	Servidor 7.1.1	Julio de 2022
CVE-2021-42581	Actualización de ramda, una librería javascript del lado del cliente a la versión 0.28 tal y como se utiliza en la interfaz de usuario de Couchbase Server. Ramda 0.27.0 y anteriores permiten a los atacantes comprometer la integridad o disponibilidad de la aplicación mediante el suministro de un objeto crafteado (que contiene una propiedad propia "{}proto{}") como argumento de la función, lo que se conoce como contaminación de prototipo. Los ataques de tipo contaminación de prototipo permiten eludir la validación de entrada y desencadenar la ejecución inesperada de javascript.	Crítica (9.1)	Servidor Couchbase	Servidor 7.1.0, 7.0.x	Servidor 7.1.1	Julio de 2022
CVE-2021-44906	Actualización de js-beautify a 1.14.3, una biblioteca javascript del lado del cliente utilizada en la interfaz de usuario de Couchbase Server. js-beautify tiene una dependencia con una vulnerabilidad conocida, Minimist. Minimist <=1.2.5 es vulnerable a la contaminación de prototipos a través del archivo index.js, función setKey() (líneas 69-95). Los ataques de contaminación de prototipos permiten eludir la validación de entrada y desencadenar la ejecución inesperada de javascript.	Crítica (9.8)	Servidor Couchbase	Servidor 7.1.0, 7.0.x	Servidor 7.1.1	Julio de 2022
CVE-2022-33911	Los nombres de campo no se eliminan en los mensajes de validación registrados para el servicio Analytics. Al crear índices secundarios con el Servicio de Análisis de Couchbase Server, hay algunas validaciones en los campos indexados que se informan al usuario y se registran. El mensaje de error con código ASX0013 se utiliza en múltiples rutas para informar y registrar que hay un nombre de campo duplicado. Los nombres de campo de estos mensajes de validación registrados no se redactan. También los errores con el código ASX1079 tienen nombres de campo que no están redactados.	Bajo (1.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 7.0.4, 6.6.6	Junio de 2022
CVE-2022-33173	Analytics Remote Links puede degradar temporalmente a una conexión no TLS para determinar el puerto TLS. En caso de fallo al establecer la conexión TLS para un enlace remoto de Analytics configurado con cifrado=full, el tiempo de ejecución intentaría descubrir el puerto TLS (no predeterminado) intentando una conexión no TLS con el clúster remoto, utilizando SCRAM-SHA para la autenticación. Aunque las credenciales no se comparten cuando se utiliza SCRAM-SHA, no cabe esperar que el sistema rebaje el nivel de cifrado prescrito que especificaba una conexión TLS. Este mecanismo de fallback ha sido eliminado, y en un fallo para establecer inicialmente una conexión TLS, el CONNECT LINK simplemente fallará hasta que el puerto TLS correcto sea proporcionado como parte de la configuración del enlace.	Bajo (2.0)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Servidor 7.0.4, 6.6.6	Junio de 2022
CVE-2022-32565	El registro del servicio de copia de seguridad filtra nombres de usuario e identificadores de documentos no censurados. Si el servicio de copia de seguridad no registra un mensaje de auditoría, filtra los datos del registro de auditoría en backup_service.log, que no se redacta.	Bajo (1.8)	Servidor Couchbase	Servidor 7.0.x	Servidor 7.1.0	Junio de 2022
CVE-2020-14040	Actualiza el paquete golang.org/x/text a 0.3.4 o posterior. El paquete golang.org/x/text/encoding/unicode que podría llevar al decodificador UTF-16 a entrar en un bucle infinito, haciendo que el programa se bloquee o se quede sin memoria.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Servidor 7.0.4, 6.6.6	Junio de 2022
CVE-2022-32192	couchbase-cli filtra la contraseña maestra de Gestión de Secretos como argumento de la línea de comandos. El couchbase-cli genera un proceso erlang de muy corta duración que tiene la contraseña maestra como argumento de proceso, esto significa que si alguien obtiene la lista de procesos en ese momento tendrá la contraseña maestra. Esto sólo afecta a los clusters de Couchbase Server que utilizan la característica de Gestión de Secretos.	Medio (5.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Servidor 7.0.4, 6.6.6	Junio de 2022
CVE-2022-32562	Las operaciones pueden tener éxito en la colección utilizando permisos RBAC obsoletos. Si un rol RBAC contiene un permiso a nivel de colección (por ejemplo, query_select[src:_default:Collection1]) y el nombre de la colección se elimina y se vuelve a crear en el bucket, el permiso a nivel de colección seguirá siendo válido. Esto permite al usuario con el rol acceder a la colección aunque su permiso debería haberse eliminado cuando se eliminó la colección.	Alta (8.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.0.4	Junio de 2022
CVE-2022-32560	XDCR - carece de comprobación de roles al cambiar la configuración interna. En las versiones afectadas de Couchbase Server, la configuración interna de XDCR puede ser modificada sin necesidad de autenticación.	Medio (4.0)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Servidor 7.0.4	Junio de 2022
CVE-2022-32564	couchbase-cli: server-eshell filtra la cookie de Cluster Manager. En las versiones afectadas de Couchbase Server, la "cookie" Erlang se pasa a través de un argumento de línea de comandos a 'erl' cuando se utiliza el comando 'server-eshell'; esto filtró la "cookie" a todos los que podían leer los argumentos del proceso 'couchbase-cli'. La cookie debe permanecer secreta ya que puede ser utilizada para realizar tareas administrativas en el cluster.	Alta (7.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.1.0, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x, 1.x	Servidor 7.0.4, 6.6.6	Junio de 2022
CVE-2021-3737	Python actualizado a 3.9.12 para solucionar un problema de denegación de servicio. Se ha encontrado un fallo en Python. Una respuesta HTTP manejada incorrectamente en el código cliente HTTP de Python puede permitir a un atacante remoto, que controle el servidor HTTP, hacer que el script cliente entre en un bucle infinito, consumiendo tiempo de CPU. Este problema sólo afecta a los clústeres que utilizan la función de vista previa para desarrolladores, Analytics UDFs.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.0.4	Junio de 2022
CVE-2022-32558	La carga de cubos de muestra puede filtrar contraseñas de usuarios internos durante un fallo. Un fallo al cargar un cubo de muestras (beer-sample, gamesim-sample, travel-sample) puede filtrar la contraseña del usuario administrador interno @ns_server en los registros (debug.log, error.log, info.log, reports.log). La cuenta @ns_server puede utilizarse para realizar acciones administrativas.	Medio (6.4)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Servidor 7.0.4, 6.6.6	Junio de 2022
CVE-2022-32193	La clave privada puede registrarse durante un fallo del componente Cluster Manager de Couchbase Server. Al realizar adiciones de nodos de clúster, un fallo del Cluster Manager (ns_server) puede provocar que la clave privada se filtre en los archivos de registro. Alguien que tenga acceso a los archivos de registro puede ser capaz de descifrar las conexiones de red seguras al clúster. Si se utiliza TLS, pueden obtenerse las credenciales de los usuarios y las aplicaciones que inician sesión en el clúster.	Medio (6.3)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Servidor 7.0.4, 6.6.6	Junio de 2022
CVE-2022-32561	Las mitigaciones anteriores para CVE-2018-15728 resultaron insuficientes cuando se descubrió que aún se podía acceder a los endpoints de diagnóstico desde la red. Los endpoints de diagnóstico como diag/eval están restringidos y solo pueden ejecutarse desde la red loopback. Sin embargo, las comprobaciones establecidas para abordar CVE-2018-15728 no comprueban correctamente si un encabezado "X-Forwarded-For" contiene una dirección de loopback. Esta cabecera puede manipularse para eludir la restricción de loopback. La vulnerabilidad se limita a las solicitudes originadas en la red privada y los espacios de direcciones compartidos, según RFC6890. Para poder enviar correctamente peticiones a estos puntos finales, un usuario necesita privilegios administrativos completos, independientemente de la cabecera "X-Forwarded-For" utilizada. Una solución para este problema es cortar las peticiones a los nodos del Servidor Couchbase que contengan cabeceras "X-Forwarded-For" en entornos donde no sean necesarias. Reconocimiento: Mucahit Karadag / PRODAFT	Alta (8.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Servidor 6.6.5, 7.0.4	Junio de 2022
CVE-2022-32557	Index Service no impone la autenticación para servidores TCP/TLS. El Servicio de Índice ejecuta varios procesos de red, Queryport, Dataport y Adminport. Se utilizan para comunicarse con otros servicios de Couchbase. Estos procesos participan en la comunicación nodo a nodo, pero no se comunican directamente con las aplicaciones SDK. En las versiones afectadas de Couchbase Server, estos procesos de red no aplican autenticación, por lo que procesarán peticiones enviadas por usuarios no autenticados. El servidor Queryport puede responder a un usuario no autenticado con los resultados del escaneo de índices. El servidor Dataport puede permitir que un usuario no autenticado modifique los datos indexados. El servidor Adminport puede permitir a usuarios no autenticados realizar operaciones DDL (como crear y eliminar índices). Posible solución: Como estos puertos se utilizan sólo para la comunicación interna por Couchbase Server, cualquier conexión/comunicación con nodos y procesos que no sean de Couchbase Server se puede deshabilitar en la capa de red.	Alta (8.2)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Servidor 7.0.4	Junio de 2022
CVE-2022-32559	Las peticiones http aleatorias conducen a métricas filtradas. Los usuarios no autenticados pueden realizar una llamada REST API al gestor de clústeres. Cada solicitud http que no haya sido vista antes por el gestor de clústeres conduce a la creación de una nueva métrica. Cada nueva métrica ocupa algo de memoria y algo de espacio en disco, lo que puede crear una fuga de memoria y una fuga de espacio en disco. Si se usan suficientes recursos, puede causar que un nodo del Servidor Couchbase falle.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.0.4	Junio de 2022
CVE-2022-32563	No se verifican las credenciales de administrador al usar autenticación de certificado de cliente X.509 desde Sync Gateway a Couchbase Server. Cuando Sync Gateway está configurado para autenticarse con Couchbase Server mediante certificados de cliente X.509, se ignoran las credenciales de administrador proporcionadas a la API REST de administración, lo que da lugar a una escalada de privilegios para usuarios no autenticados. Este problema no afecta a la API REST pública. Solución: Sustituya la autenticación basada en certificados X.509 por la autenticación mediante nombre de usuario y contraseña en la configuración de arranque.	Crítica (9.8)	Pasarela de sincronización Couchbase	Pasarela de sincronización Couchbase: 3.0.0, 3.0.1	3.0.2	Junio de 2022
CVE-2021-33504	La adición de nodos no fiables puede manipularse para obtener el secreto de un clúster. Los administradores que añadan un nodo no fiable a un clúster podrían arriesgarse inadvertidamente a transmitir la cookie del clúster, que debería permanecer secreta. Esto puede solucionarse desplegando encriptación TLS con certificados firmados por la Autoridad de Certificación. Cuando se utiliza TLS, se requiere un certificado de confianza para estar presente en el nodo de entrada de Couchbase Server versión 7.1.0. Reconocimiento: Ofir Hamam, investigador de seguridad del Centro de Seguridad Avanzada de EY Israel	Alta (7.6)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.1.0	Mayo de 2022
CVE-2022-26311	Secretos no redactados en registros recogidos de entornos Kubernetes. Couchbase Operator 2.2.0 introdujo una optimización que simplificó la recolección de logs. Cuando se recopilan los registros, la herramienta de soporte - "cbopinfo" - se utiliza para recopilar los recursos Kubernetes necesarios para obtener información sobre el estado de los recursos previstos, y el estado actual de los recursos. Antes de las versiones afectadas, los datos secretos se redactaban, sin embargo, esta funcionalidad no se conservó en el nuevo método de recopilación. Como resultado, los registros podrían contener erróneamente contraseñas, tokens y claves privadas dentro del ámbito de la recopilación de registros. Por defecto, este ámbito se limitará al espacio de nombres de Kubernetes en el que reside el clúster de Couchbase Server bajo inspección. La excepción a esto es si se especificó la bandera --system, en cuyo caso todos los secretos de la plataforma habrán sido expuestos. Los registros se utilizan para identificar y remediar los problemas de los clientes, y por lo tanto sólo los clientes que han proporcionado los registros, con las versiones de la herramienta especificada, se ven afectados. Couchbase se asegurará de que todos los registros afectados que hayan sido proporcionados sean redactados.	Alta (7.2)	Operador nativo en la nube de Couchbase	2.2.0, 2.2.1, 2.2.2	2.2.3	Marzo de 2022
CVE-2021-44228	Actualización de Apache Log4J a 2.15.0 Un problema crítico en la utilidad Apache Log4J utilizada por el servicio Couchbase Analytics requiere actualización para evitar la posible ejecución remota de código (RCE) y la extracción de datos confidenciales.	Crítica (10)	Servidor Couchbase	Servidor 7.0.2, 7.0.1, 7.0.0, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Servidor 7.0.3, 6.6.4	Diciembre de 2021
CVE-2021-43963	Sync Gateway almacena de forma insegura las credenciales del bucket de Couchbase Server Las credenciales del bucket utilizadas por Sync Gateway para leer y escribir datos en Couchbase Server se almacenaban de forma insegura en los metadatos de los documentos de sincronización escritos en el bucket. Los usuarios con acceso de lectura podían utilizar estas credenciales para obtener acceso de escritura. Este problema no afecta a los clústeres en los que Sync Gateway se autentica con certificados de cliente x.509. Este problema tampoco afecta a los clústeres en los que el acceso a buckets compartidos no está habilitado en Sync Gateway.	Medio (6.5)	Pasarela de sincronización Couchbase	Pasarela de sincronización 2.8.2, 2.8.1, 2.8.0, 2.7.x	Sync Gateway 2.8.3	Octubre de 2021
CVE-2021-37842	Los registros no redactan las credenciales XDCR remoteCluster Las credenciales XDCR del Cluster Remoto pueden filtrarse en los registros de depuración. Config key tombstone purging fue añadido en Couchbase Server 7.0.0. Este problema ocurre cuando una config key, que está siendo registrada, tiene una tombstone purger time-stamp adjunta a ella.	Alta (7.6)	Servidor Couchbase	Servidor 7.0.1, 7.0.0	Servidor 7.0.2	Octubre de 2021
CVE-2021-42763	Credenciales expuestas en el registro de errores de un fallo a partir de un backtrace Como parte de una colección de logs cbcollect_info, Couchbase Server recoge la información de proceso de todos los procesos que se ejecutan en la VM Erlang. El problema se produce cuando el gestor de cluster reenvía una petición HTTP desde la interfaz de usuario pluggable (query workbench, etc.) al servicio específico. En el backtrace, el Basic Auth Header incluido en la petición HTTP, tiene las credenciales de usuario "@" del nodo que procesa la petición de la UI. Para que se produzca el problema, la información del proceso debe activarse en el momento exacto en que el gestor de clúster atiende una solicitud de interfaz de usuario conectable.	Alta (8.8)	Servidor Couchbase	Sever 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Servidor 6.6.3, 7.0.2	Octubre de 2021
CVE-2021-33503	Actualización de Python urllib3 a 1.26.5 o superior Se ha descubierto un problema en urllib3 anterior a 1.26.5, utilizado por las herramientas de línea de comandos de Couchbase Server. Cuando a estas herramientas se les proporciona una URL que contiene muchos caracteres @ en el componente de autoridad, la expresión regular de autoridad muestra un retroceso catastrófico, causando una denegación de servicio de la herramienta de línea de comandos si se pasa una URL como parámetro o se redirige a través de una redirección HTTP.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Servidor 6.6.3, 7.0.2	Octubre de 2021
CVE-2020-36242	Actualización del paquete criptográfico Python a 3.3.2 En el paquete de criptografía anterior a la versión 3.3.2 para Python, utilizado por las herramientas de línea de comandos de Couchbase Server, ciertas secuencias de llamadas de actualización para cifrar simétricamente valores de varios GB podían provocar un desbordamiento de enteros y un desbordamiento de búfer en dicha herramienta.	Crítica (9.1)	Servidor Couchbase	Sever 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Servidor 6.6.3, 7.0.2	Octubre de 2021
CVE-2021-35944	Un paquete de red especialmente diseñado enviado por un atacante puede bloquear memcached. Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.	Alta (8.2)	Servidor Couchbase	Servidor 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 6.6.3, 7.0.1	Septiembre de 2021
CVE-2021-35945	Un paquete de red especialmente diseñado enviado por un atacante puede bloquear memcached. Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.	Alta (8.2)	Servidor Couchbase	Servidor 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Servidor 6.6.3, 7.0.1	Septiembre de 2021
CVE-2021-35943	No se impide que los usuarios gestionados externamente utilicen una contraseña vacía, según RFC4513. Si un servidor LDAP o Active Directory, utilizado para la autenticación externa, está configurado para permitir enlaces inseguros no autenticados, Couchbase Server Cluster Manager permitirá que un usuario externo sea autenticado con una contraseña vacía. Los servidores LDAP pueden configurarse para que fallen las peticiones Unauthenticated Bind con un resultCode de "unwillingToPerform" para evitar que esto ocurra.	Crítica (9.8)	Servidor Couchbase	Servidor 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 6.6.3	Agosto de 2021
CVE-2021-23840 CVE-2021-3450 CVE-2021-3449	Actualizar OpenSSL a la versión 1.1.1k Se han resuelto varios problemas de seguridad en OpenSSL, uno de los cuales podía provocar el bloqueo del servidor TLS si un cliente enviaba un mensaje ClientHello de renegociación malintencionado.	Media / Alta (5.9, 7.4, 7.5)	Servidor Couchbase	Servidor 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 6.6.3	Agosto de 2021
CVE-2019-10768	Actualizar AngularJS a 1.8.0 Problema en Angular tal y como lo utiliza la interfaz de usuario de Couchbase que puede provocar una denegación de servicio modificando la función merge().	Alta (7.5)	Servidor Couchbase	Servidor 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Servidor 6.6.3	Agosto de 2021
CVE-2021-31158	N1QL Common Table Expressions (CTEs) manejaba incorrectamente el control de acceso. Las consultas N1QL de Expresión de Tabla Común no respetaban correctamente los controles de seguridad RBAC, dando acceso de lectura a usuarios que no tenían la autorización requerida.	Medio (6.5)	Servidor Couchbase	Servidor 6.6.1, 6.6.0, 6.5.2, 6.5.1, 6.5.0	Servidor 6.6.2	Febrero de 2020
CVE-2019-14863	FTS UI para actualizar a angular 1.6.9 La interfaz de usuario de Full Text Seach utiliza AngularJS 1.4.7 para la que existen algunas vulnerabilidades de seguridad conocidas de alta gravedad. Estas bibliotecas AngularJS se han actualizado a una versión más reciente de Angular que ha solucionado estas vulnerabilidades.	Alta (7.4)	Servidor Couchbase	6.0.2, 5.5.5	6.5.0	Enero de 2020
CVE-2020-9040	Hasta core-io 1.7.11 (y, en consecuencia, Java SDK 2.7.11), la verificación del nombre de host en conexiones TLS/SSL no está habilitada y puede suponer un riesgo para la seguridad en determinados entornos. Java 6 (JDK 1.6, la versión de referencia del SDK más antigua) no admitía la verificación de nombres de host de forma predeterminada. Una vez que el SDK pasó a Java 7 (Java 1.7) como versión de referencia, fue posible añadir soporte. Esto ocurrió en jvm-core 1.7.11 (que se traduce en java-client 2.7.11). No es posible en versiones anteriores añadirlo manualmente como solución, porque las facilidades para personalizarlo en consecuencia no están expuestas. Ten en cuenta que para no romper las aplicaciones que dependen del comportamiento antiguo, la verificación del nombre de host sigue desactivada por defecto, pero puede activarse en la configuración del SDK (clase CouchbaseEnvironment).	Alta (7.5)	SDK Java de Couchbase Conector Spark de Couchbase Conector Kafka de Couchbase (Conectores según Java SDK o Core-IO)	1.7.10, 1.6.0, 1.5.0, 1.4.0, 1.3.0, 1.2.0, 1.1.0, 1.0.0	2.7.11	Abril de 2019
CVE-2020-9039	Los puntos finales REST del proyector y del indexador no requerían autenticación El punto final /settings REST expuesto por el proceso proyector es un punto final que los administradores pueden utilizar para diversas tareas, como actualizar la configuración y recopilar perfiles de rendimiento. El punto final no estaba autenticado y se ha actualizado para que solo los usuarios autenticados puedan acceder a estas API administrativas. Reconocimiento: Equipo de seguridad de Apple	Alta (7.6)	Servidor Couchbase	5.5.1, 5.5.0, 5.0.1, 5.0.0, 4.6.x, 4.5.x, 4.1.x, 4.0.x	6.5.0 6.0.0 5.5.2 5.1.2	Septiembre de 2018
CVE-2020-9042	Couchbase Server devuelve una respuesta WWW-Authenticate a peticiones no autenticadas La API REST del servidor responde con un encabezado {{WWW-Authenticate}} a las solicitudes no autenticadas que permite al usuario autenticarse a través de un cuadro de diálogo de usuario / contraseña en un navegador web. El problema es que estas credenciales son almacenadas en caché por el navegador, lo que permite a un hacker utilizar CSRF para atacar un clúster en el caso de que un administrador haya utilizado su navegador para comprobar los resultados de una solicitud de API REST. Este comportamiento se puede desactivar utilizando couchbase-cli (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Esto no está desactivado por defecto ya que podría romper las herramientas o scripts existentes. Reconocimiento: Equipo de seguridad de Apple	Medio (6.3)	Servidor Couchbase	6.0.0	6.5.1	Abril de 2020
CVE-2019-11464	El puerto 8092 echa en falta la cabecera de protección X-XSS Algunas empresas exigen que los puntos finales de la API REST incluyan cabeceras relacionadas con la seguridad en las respuestas REST. Cabeceras como X-Frame-Options y X-Content-Type-Options son generalmente recomendables, sin embargo algunos profesionales de la seguridad de la información adicionalmente buscan X-Permitted-Cross-Domain-Policies y X-XSS-Protection, que son más generalmente aplicables a HTML endpoint, para ser incluidos también. Estas cabeceras se incluyen ahora en las respuestas de la API REST de Couchbase Server Views (puerto 8092).	Medio (5.4)	Servidor Couchbase	5.5.0 5.1.2	6.0.2	Marzo de 2019
CVE-2019-9039	Evitar la inyección de N1QL en Sync Gateway a través de _all_docs startkey, endkey Un atacante con acceso a la API REST pública de Sync Gateway pudo emitir sentencias N1QL adicionales y extraer datos confidenciales o llamar a funciones N1QL arbitrarias a través de los parámetros "startkey" y "endkey" en el endpoint "_all_docs". Mediante la emisión de consultas anidadas con operaciones de uso intensivo de CPU pueden haber sido capaces de causar un mayor uso de recursos y condiciones de denegación de servicio. El endpoint _all_docs no es necesario para la replicación de Couchbase Mobile, y el acceso externo a este endpoint REST ha sido bloqueado para mitigar este problema. Reconocimiento: Denis Werner/HiSolutions AG	Alta (7.6)	Pasarela de sincronización Couchbase	2.1.2	2.5.0 2.1.3	Febrero de 2019
CVE-2019-11466	El punto final de depuración de eventos debe aplicar la autenticación. El servicio de eventos expone un perfil de diagnóstico del sistema a través de un punto final HTTP que no requiere credenciales en un puerto destinado únicamente al tráfico interno. Esto se ha remediado y ahora se requieren credenciales válidas para acceder.	Alta (7.1)	Servidor Couchbase	6.0.0 5.5.0	6.0.1	Diciembre de 2018
CVE-2019-11465	El comando "connections" stat block de Memcached emite un nombre de usuario no redactado La información del sistema enviada a Couchbase como parte de un informe de error incluía los nombres de usuario de todos los usuarios que habían iniciado sesión en el sistema, incluso si el registro se había redactado en aras de la privacidad. Esto se ha corregido para que los nombres de usuario se etiqueten correctamente en los registros y se eliminen cuando se redacten los registros.	Medio (6.5)	Servidor Couchbase	6.0.0, 5.5.3, 5.5.2, 5.5.1, 5.5.0	6.0.1 5.5.4	Enero de 2019
CVE-2018-15728	El endpoint /diag/eval no está bloqueado en localhost. Couchbase Server expuso el endpoint '/diag/eval', que, por defecto, está disponible en TCP/8091 y/o TCP/18091. Autentificado usuarios que han Administración completa rol asignado podía enviar código Erlang arbitrario al endpoint 'diag/eval' de la API y el código se ejecutaría posteriormente en el sistema operativo subyacente con privilegios del usuario que se utilizó para iniciar Couchbase. Reconocimiento: Equipo de seguridad de Apple	Alta (8.8)	Servidor Couchbase	5.5.1, 5.5.0, 5.1.1, 5.0.1, 5.0.0, 4.6.5, 4.5.1, 4.1.2, 4.0.0	6.0.0 5.5.2	Octubre de 2018
CVE-2019-11495	La cookie Erlang utiliza una semilla aleatoria débil. La cookie utilizada para la comunicación intra-nodo no se generó de forma segura. Couchbase Server utiliza erlang:now() para sembrar el PRNG, lo que resulta en un pequeño espacio de búsqueda de semillas aleatorias potenciales que podrían ser utilizadas para forzar la cookie y ejecutar código contra un sistema remoto. Reconocimiento: Equipo de seguridad de Apple	Alta (7.9)	Servidor Couchbase	5.1.1	6.0.0	Septiembre de 2018
CVE-2019-11467	Un documento JSON con más de 3.000 caracteres '\t' bloquea el indexador. La indexación secundaria codifica las entradas a indexar utilizando collatejson. Cuando las entradas del índice contenían ciertos caracteres como \t, , se producía un desbordamiento del búfer, ya que la cadena codificada era mucho mayor de lo previsto, lo que provocaba que el servicio de indexación se bloqueara y reiniciara. Esto se ha remediado ahora para asegurar que el búfer siempre crece según sea necesario para cualquier entrada. Reconocimiento: D-Trust GmbH	Medio (5.8)	Servidor Couchbase	5.5.0, 4.6.3	5.1.2, 5.5.2	Agosto de 2018
CVE-2019-11497	XDCR no valida un certificado de cluster remoto. Cuando se introducía un certificado de clúster remoto no válido como parte de la creación de referencias, XDCR no analizaba ni comprobaba la firma del certificado. A continuación, aceptaba el certificado no válido e intentaba utilizarlo para establecer futuras conexiones con el clúster remoto. Esto se ha solucionado. XDCR comprueba ahora la validez del certificado de forma exhaustiva y evita que se cree una referencia de clúster remoto con un certificado no válido.	Alta (7.5)	Servidor Couchbase	5.0.0	5.5.0	Junio de 2018
CVE-2019-11496	La edición de la configuración del bucket en Couchbase Server permite la autenticación sin credenciales. En versiones de Couchbase Server anteriores a la 5.0, el bucket llamado "default" era un bucket especial que permitía acceso de lectura y escritura sin autenticación. Como parte de la versión 5.0, el comportamiento de todos los cubos, incluido "default", se modificó para permitir el acceso únicamente a usuarios autenticados con autorización suficiente. Sin embargo, los usuarios podían acceder sin autenticación y sin autorización al cubo "por defecto" si se editaban las propiedades de este cubo. Esto se ha corregido.	Alta (8.7)	Servidor Couchbase	5.0.0	5.1.0 5.5.0	Diciembre de 2017

CVE-2025-49015

.NET SDK v3.7.1 y anteriores podían omitir la verificación del nombre de host del certificado
En .NET SDK v3.7.1 y versiones anteriores, la verificación del nombre de host para certificados TLS no se aplicaba correctamente en todos los casos.

Medio
(4.9)

SDK .NET de Couchbase

3.7.0,
3.6.x,
3.5.x,
3.4.x,
3.3.x,
3.2.x,
3.1.x,
3.0.x

3.7.1

Junio de 2025

CVE-2024-30171
CVE-2024-29857
CVE-2024-30172

Actualiza Bouncy Castle a 1.79
Se ha descubierto un problema en las API de criptografía Java de Bouncy Castle anteriores a la versión 1.78. Se puede producir un bucle infinito de código de verificación Ed25519 mediante una firma y una clave pública falsificadas.

Medio
(6.9)

Servidor Couchbase

Servidor
7.6.5,
7.6.4,
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.6,
7.2.7

Mayo de 2025

CVE-2025-46619

Vulnerabilidad de inclusión local de archivos identificada en Couchbase Server para Windows

Se ha descubierto un problema de seguridad en Couchbase Server para Windows que podría permitir el acceso no autorizado a archivos confidenciales en el sistema. Dependiendo del nivel de privilegios, esta vulnerabilidad puede conceder acceso a archivos como / etc / passwd o / etc / shadow.

Alta
(8.7)

Servidor Couchbase

Servidor
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.6.4,
7.2.7

Abril de 2025

CVE-2024-21235

Actualizar JDK a 17.0.13

Esta vulnerabilidad es difícil de explotar, pero permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer potencialmente los productos afectados. Una explotación exitosa podría resultar en actualizaciones no autorizadas, inserciones o eliminaciones de datos accesibles, así como acceso de lectura no autorizado a ciertos subconjuntos de datos.

Medio
(4.8)

Servidor Couchbase

Servidor
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.4,
7.2.7

Abril de 2025

CVE-2024-56178

Creación no autorizada de un usuario con funciones elevadas

Un usuario con el rol security_admin_local podría crear un nuevo usuario en un grupo que tiene el rol 'admin', otorgando potencialmente privilegios elevados más allá de los permisos previstos.

Medio
(6.9)

Servidor Couchbase

Servidor
7.6.3,
7.6.2,
7.6.1,
7.6.0

Servidor
7.6.4

Diciembre de 2024

CVE-2024-21094
CVE-2024-21011
CVE-2024-21068
CVE-2024-21012

Actualizar JDK a 17.0.11

La vulnerabilidad permite a los atacantes no autenticados con acceso a la red a través de múltiples protocolos para comprometer Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition datos accesibles.

Bajo
(3.7)

Servidor Couchbase

Servidor
7.6.1,
7.6.0,
7.2.5
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.2,
7.2.6

Agosto de 2024

CVE-2016-2183
CVE-2016-6329

Puertos de gestión de clúster vulnerables a la vulnerabilidad SWEET32.

Los cifrados DES y Triple DES, utilizados en los protocolos TLS, SSH e IPSec y en otros protocolos y productos, tienen un límite de cumpleaños de aproximadamente cuatro mil millones de bloques, lo que facilita a los atacantes remotos la obtención de datos en texto claro mediante un ataque de cumpleaños contra una sesión cifrada de larga duración, como demuestra una sesión HTTPS que utiliza Triple DES en modo CBC, también conocido como ataque "Sweet32".

Alta
(8.7)

Servidor Couchbase

Servidor
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x
4.x
3.x,
2.x

Servidor
7.6.0,
7.2.6

Agosto de 2024

CVE-2024-25673

Vulnerabilidad de manipulación de encabezados.

El encabezado Host de una solicitud HTTP entrante se copiaba ciegamente en el encabezado Location.

Medio
(4.2)

Servidor Couchbase

Servidor
7.6.1,
7.6.0,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.6.2,
7.2.6

Agosto de 2024

CVE-2024-37034

Las credenciales se negocian con KV utilizando SCRAM-SHA cuando el cifrado de enlace remoto está configurado para HALF.

SDK negociará con SCRAM-SHA por defecto, lo que permite a un MITM negociar credenciales PLAIN.

Medio
(5.9)

Servidor Couchbase

Servidor
7.6.0,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.1,
7.2.5

Julio de 2024

CVE-2024-0519

Actualizar v8 a 12.1.285.26.

El acceso a memoria fuera de los límites en V8 en Google Chrome anterior a 120.0.6099.224 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

Alta
(8.8)

Servidor Couchbase

Servidor
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.6.2,
7.2.5

Julio de 2024

CVE-2023-50782

Actualizar pyca-cryptography a 42.0.5.

Se ha encontrado un fallo en el paquete python-cryptography. Este problema puede permitir a un atacante remoto descifrar mensajes capturados en servidores TLS que utilizan intercambios de claves RSA, lo que puede dar lugar a la exposición de datos confidenciales o sensibles.

Alta
(7.5)

Servidor Couchbase

Servidor
7.6.1,
7.6.0

Servidor
7.6.2,
7.2.5

Julio de 2024

CVE-2023-49338

Se ha accedido al punto final de estadísticas del servicio de consultas sin autenticación.

El endpoint Query stats no implementaba la autenticación correcta, lo que permitía ver la información de las estadísticas.

Medio
(5.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.4

Enero de 2024

CVE-2023-45873

Usuario con rol de Lector de Datos podría OOM matar el Servicio de Datos.

Un usuario con el privilegio de Lector de Datos podría matar el Servicio de Datos enviando GetKeys solicitando un alto número de documentos, desencadenando un error Out-of-Memory (OOM).

Medio
(6.5)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Servidor
7.2.4

Enero de 2024

CVE-2023-45874

Los lectores de datos podrían DOS los hilos lectores.

Un usuario con el rol de Lector de Datos podría bloquear un hilo lector del Servicio de Datos durante un tiempo significativo solicitando un elevado número de claves y potencialmente bloquear todos los hilos lectores emitiendo el mismo comando en múltiples conexiones.

Medio
(4.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Servidor
7.2.4

Enero de 2024

CVE-2023-43769

Puertos de servicio RMI no autenticados expuestos en el servicio de análisis.

Los puertos de red 9119 y 9121 eran puertos de servicio RMI no autenticados alojados por el servicio Analytics, lo que podía dar lugar a una escalada de privilegios.

Crítica
(9.1)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.2.4

Enero de 2024

CVE-2023-50437

otpCookie se ha mostrado a un usuario con rol Full Admin en los puntos finales de la API serverGroups y engageCluster2 del Cluster Manager.

La otpCookie del clúster se filtró a los usuarios con el rol Full Admin en el punto final de la API serverGroups y tanto Cluster Admin como Full Admin en el punto final de la API engageCluster2. Esto podría utilizarse para elevar privilegios.

Alta
(8.6)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.4

Enero de 2024

CVE-2023-49931

Las llamadas SQL++ cURL a / diag / eval no estaban suficientemente restringidas.

La llamada a cURL a través de SQL++ (N1QL) utilizando el servicio de consultas al punto final localhost's / diag / eval no se impedía completamente.

Alta
(8.6)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Servidor
7.2.4

Enero de 2024

CVE-2023-49932

Problema de implementación de restricciones de host SQL++ N1QL cURL.

La protección cURL allowlist de SQL++ (N1QL) en el Servicio de Consulta, no era suficiente para prevenir el acceso a hosts restringidos.

Medio
(5.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Servidor
7.2.4

Enero de 2024

CVE-2023-49930

Las llamadas SQL++ cURL a diag eval no estaban suficientemente restringidas.

No se impedía completamente la llamada a cURL mediante SQL++ (N1QL) a través del servicio de eventos al punto final diag eval del host local.

Alta
(8.6)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.5.x

Servidor
7.2.4

Enero de 2024

CVE-2023-50436

El usuario interno Full Admin para las credenciales de gestión del clúster se filtró al archivo de registro.

Un evento de registro provocó que las credenciales de administración internas de @ns_server se filtraran codificadas en diag.log.

Bajo
(2.1)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.6,
7.1.5

Servidor
7.2.4

Enero de 2024

CVE-2024-23302

Clave privada TLS filtrada en el archivo de registro XDCR.

La clave privada utilizada para la replicación entre centros de datos (XDCR) se filtró en goxdcr.log.

Bajo
(2.1)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.5.x

Servidor
7.2.4

Enero de 2024

CVE-2023-38545

Actualice cURL a la versión 8.4.0.

El fallo en curl hace que se desborde un buffer basado en heap en el handshake del proxy SOCKS5.

Crítica
(9.8)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Servidor
7.2.4

Enero de 2024

CVE-2023-5678

Actualice a OpenSSL 3.1.4.

Las aplicaciones que utilizan las funciones DH_generate_key() para generar una clave DH X9.42 y las aplicaciones que utilizan DH_check_pub_key(), DH_check_pub_key_ex() o EVP_PKEY_public_check() para comprobar una clave DH X9.42 o parámetros DH X9.42 pueden experimentar grandes retrasos. Si la clave o los parámetros que se están comprobando se han obtenido de una fuente no fiable, puede producirse una denegación de servicio.

Medio
(5.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.4

Enero de 2024

CVE-2023-44487

Actualice gRPC a v1.58.3.

El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.3,
7.1.6

Noviembre de 2023

CVE-2023-44487

Actualiza Golang a 1.20.10.

El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.3,
7.1.6

Noviembre de 2023

CVE-2023-0464

Actualice a OpenSSL 1.1.1u.

Una vulnerabilidad en OpenSSL relacionada con la verificación de cadenas de certificados X.509 que incluyen restricciones de políticas, que permitiría a los atacantes ser capaces de explotar esta vulnerabilidad mediante la creación de una cadena de certificado malicioso que desencadena un uso exponencial de los recursos computacionales, lo que lleva a un ataque de denegación de servicio (DoS) en los sistemas afectados.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.1,
7.1.5

Noviembre de 2023

CVE-2022-41723

Actualización de GoLang a 1.19.9.

Un flujo HTTP/2 malicioso podría causar un consumo excesivo de CPU en el decodificador HPACK, suficiente para causar una denegación de servicio a partir de un pequeño número de pequeñas peticiones.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.1,
7.1.5

Noviembre de 2023

CVE-2023-3079

CVE-2023-2033

Actualizar V8 a 11.4.185.1.

La confusión tipográfica en V8 en Google Chrome anterior a 114.0.5735.110 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

Alta
(8.0)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.1,
7.1.5

Noviembre de 2023

CVE-2023-21930

CVE-2023-21954

CVE-2023-21967

CVE-2023-21939

CVE-2023-21938

CVE-2023-21937

CVE-2023-21968

Actualiza OpenJDK a 11.0.19.

Actualice OpenJDK a la versión 11.0.19 para resolver numerosas CVE.

Alta
(7.4)

Servidor Couchbase

Servidor
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Servidor
7.1.5

Noviembre de 2023

CVE-2023-36667

Problema de seguridad de Windows traversal.

La interfaz de usuario de Windows de Couchbase Server permite a un atacante recorrer el sistema de archivos y mostrar los archivos a los que Couchbase tiene acceso. Esta vulnerabilidad no requiere autenticación. Se puede explotar simplemente añadiendo carpetas/archivos a la URL de la interfaz de administración de Couchbase Server.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.1,
7.1.5

Noviembre de 2023

CVE-2023-43768

Los usuarios no autenticados pueden hacer que memcached se quede sin memoria.

Un usuario malintencionado puede colapsar fácilmente un servidor memcached conectándose al servidor y comenzando a enviar comandos de gran tamaño.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Servidor
7.2.1,
7.1.5

Noviembre de 2023

CVE-2023-45875

Fuga de clave privada en debug.log al añadir nodo pre-7.0 a cluster 7.2.

La clave privada se filtra a debug.log al añadir un nodo pre-7.0 al cluster 7.2.

Medio
(4.4)

Servidor Couchbase

Servidor
7.2.0

Servidor
7.2.1

Noviembre de 2023

CVE-2022-41881

CVE-2022-41915

Actualice Netty a 4.1.86.Final o superior.

En versiones anteriores a la 4.1.86.Final, puede producirse un error StackOverflowError al analizar un mensaje malformado debido a una recursión infinita.

Bajo
(2.2)

Servidor Couchbase

Servidor
6.6.6,
7.0.5,
7.1.3

Servidor
7.2.0,
7.1.4

Mayo de 2023

CVE-2023-28470

El punto final nsstats de búsqueda de texto completo (FTS) es accesible sin autenticación.

El punto final de estadísticas FTS en / api / nsstats no implementa la autenticación correcta, por lo que es posible ver los nombres de los buckets de Couchbase Server, los nombres de los índices FTS y la configuración de los índices FTS sin autenticación. El contenido de los cubos y los índices no están expuestos.

Medio
(5.3)

Servidor Couchbase

Servidor
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Servidor
7.1.4

Marzo de 2023

CVE-2023-25016

Las credenciales pueden filtrarse a los registros si se produce una caída durante la unión de un nodo.

Durante un fallo de unión de nodos, las credenciales no redactadas del usuario que realiza la solicitud REST pueden filtrarse en los archivos de registro.

Medio
(6.3)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.1.2,
7.0.5,
6.6.6

Enero de 2023

CVE-2022-42951

Couchbase Cluster Manager carece de controles de acceso durante el reinicio de un nodo del cluster.

Durante el arranque de un nodo servidor couchbase hay un breve periodo de tiempo en el que la cookie de seguridad se establece en "nocookie", que carece de controles de acceso sobre el protocolo de distribución Erlang. Si un atacante se conecta a este protocolo durante este periodo, puede ejecutar código arbitrario remotamente en cualquier nodo del cluster en cualquier momento hasta que su conexión sea interrumpida. El código ejecutado se ejecutará con los mismos privilegios que el servidor Couchbase.

Crítica
(9.8)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
7.1.2,
7.0.5,
6.6.6

Enero de 2023

CVE-2022-42004

CVE-2022-42003

Actualización de Jackson Databind a 2.13.4.2+ como se utiliza en el Servicio de Análisis para resolver vulnerabilidades.

Se puede producir un agotamiento de recursos del servicio Couchbase Analytics debido a la falta de una comprobación para evitar el uso de matrices anidadas profundamente.

Alta
(7.5)

Servidor Couchbase

Servidor
7.1.2,
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1
6.6.0
6.5.x,
6.0.x,
5.x,
4.x

Servidor
7.1.3,
7.0.5,
6.6.6

Enero de 2023

CVE-2022-42950

Una solicitud HTTP maliciosa a la API REST puede provocar una OOM del servicio de copia de seguridad.

Un cuerpo de solicitud HTTP extremadamente grande (o sin límites) puede provocar que el servicio de copia de seguridad cause un error OOM (out-of-memory).

Medio
(4.9)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.1.2,
7.0.5

Enero de 2023

CVE-2022-1096

Actualización del motor Javascript V8 a 10.7.x.

Se ha actualizado el motor Javascript v8 utilizado en el servicio de eventos del servidor Couchbase, el motor View, XDCR y las UDF N1QL, ya que existe una confusión de tipos en las versiones anteriores a la 99.0.4844.84 que permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una solicitud manipulada.

Alta
(8.8)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.1.2,
7.0.5

Enero de 2023

CVE-2021-41561

Actualización de Apache Parquet a 1.12.3.

Un atacante puede utilizar archivos Parquet, como los utilizados opcionalmente por el Servicio de Análisis Couchbase, para causar una Denegación de Servicio (DoS) si los archivos maliciosos contienen valores inapropiados en la cabecera de la página del archivo (por ejemplo, valores negativos donde se espera un valor positivo). Esto se resuelve actualizando la librería Apache Parquet a una versión posterior.

Alta
(7.5)

Servidor Couchbase

Servidor
7.1.1,
7.1.0

Servidor
7.1.2

Noviembre de 2022

CVE-2022-37026

Actualización de Erlang a la versión 24.3.4.4.

Cuando se utiliza la característica tls/ssl en el servidor couchbase, es posible saltarse la autenticación del cliente en ciertas situaciones. Específicamente, cualquier aplicación que utilice el servidor ssl/tls/dtls, y la opción de certificación de cliente "{verify, verify_peer}" están afectadas por esta vulnerabilidad. Se han publicado correcciones en las pistas soportadas con los parches 23.3.4.15, 24.3.4.2, y 25.0.2 del runtime erlang/OTP. Sólo están afectados los clusters que utilizan autenticación basada en certificados.

Crítica
(9.8)

Servidor Couchbase

Servidor
7.1.1,
7.1.0

Servidor
7.1.2

Noviembre de 2022

CVE-2022-32556

La clave privada se filtra a los archivos de registro con ciertas caídas.

Algunos fallos poco frecuentes pueden provocar que la clave privada del certificado generado se filtre a los archivos de registro.

Medio
(6.3)

Servidor Couchbase

Servidor
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x

Servidor
7.1.1,
7.0.4,
6.6.6

Julio de 2022

CVE-2022-24675

CVE-2022-23772

CVE-2022-24921

Actualización de GoLang a un mínimo de 1.17.9 o 1.18.1.

Actualizado el lenguaje de programación Go y las librerías asociadas utilizadas en múltiples servicios de Couchbase Server a las versiones 1.17.9+ o 1.18.1+ para resolver numerosas CVEs.

Alta
(7.5)

Servidor Couchbase

Servidor
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5x,
6.0.x,
5.x,
4.x

Servidor
7.1.1,
7.0.5,
6.6.6

Julio de 2022

CVE-2020-36518

Actualización de la biblioteca jackson-databind a la versión 2.13.2.2.

jackson-databind, antes de 2.13.0 permite una excepción Java StackOverflow y denegación de servicio a través de una gran profundidad de objetos anidados. Esta biblioteca es utilizada por el servicio de análisis del servidor Couchbase.

Medio
(6.5)

Servidor Couchbase

Servidor
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Servidor
7.1.1,
7.0.4,
6.6.6

Julio de 2022

CVE-2022-1292

Actualización de openssl a 1.1.1o.

Actualizado openssl para corregir un fallo en un componente de openssl, c_rehash. Este script escanea directorios y toma un valor hash de cada archivo .pem y .crt en el directorio. A continuación, crea enlaces simbólicos para cada uno de los archivos nombrados por el valor hash. Tiene un defecto que permite la inyección de comandos en el script.

Crítica
(9.8)

Servidor Couchbase

Servidor
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
7.1.1,
7.0.4,
6.6.6

Julio de 2022

CVE-2022-34826

La frase de contraseña de la clave privada cifrada puede filtrarse en los registros.

En Couchbase Server 7.1.0 y posteriores es posible proporcionar una frase de contraseña a Couchbase Server para desbloquear una clave privada TLS encriptada. Esta frase de contraseña se filtró en los archivos de registro como una cadena codificada en Base64 cuando uno de los servicios Couchbase, que no sea el Servicio de Datos, se estaba iniciando. Esto afecta al Servicio de Índices, al Servicio de Consultas, al Servicio de Análisis, al Servicio de Copias de Seguridad y al Servicio de Eventos si se utiliza la función opcional de cifrado de claves TLS. Tenga en cuenta que un atacante necesita tener acceso a los registros, así como a la clave privada, para poder realizar ataques tales como realizar un ataque de intermediario o descifrar la comunicación de red. El uso de protecciones del sistema operativo para restringir el acceso a estos archivos puede ser una estrategia de mitigación eficaz.

Medio
(4.4)

Servidor Couchbase

Servidor
7.1.0

Servidor
7.1.1

Julio de 2022

CVE-2021-42581

Actualización de ramda, una librería javascript del lado del cliente a la versión 0.28 tal y como se utiliza en la interfaz de usuario de Couchbase Server.

Ramda 0.27.0 y anteriores permiten a los atacantes comprometer la integridad o disponibilidad de la aplicación mediante el suministro de un objeto crafteado (que contiene una propiedad propia "{}proto{}") como argumento de la función, lo que se conoce como contaminación de prototipo. Los ataques de tipo contaminación de prototipo permiten eludir la validación de entrada y desencadenar la ejecución inesperada de javascript.

Crítica
(9.1)

Servidor Couchbase

Servidor
7.1.0,
7.0.x

Servidor
7.1.1

Julio de 2022

CVE-2021-44906

Actualización de js-beautify a 1.14.3, una biblioteca javascript del lado del cliente utilizada en la interfaz de usuario de Couchbase Server.

js-beautify tiene una dependencia con una vulnerabilidad conocida, Minimist. Minimist <=1.2.5 es vulnerable a la contaminación de prototipos a través del archivo index.js, función setKey() (líneas 69-95). Los ataques de contaminación de prototipos permiten eludir la validación de entrada y desencadenar la ejecución inesperada de javascript.

Crítica
(9.8)

Servidor Couchbase

Servidor
7.1.0,
7.0.x

Servidor
7.1.1

Julio de 2022

CVE-2022-33911

Los nombres de campo no se eliminan en los mensajes de validación registrados para el servicio Analytics.

Al crear índices secundarios con el Servicio de Análisis de Couchbase Server, hay algunas validaciones en los campos indexados que se informan al usuario y se registran. El mensaje de error con código ASX0013 se utiliza en múltiples rutas para informar y registrar que hay un nombre de campo duplicado. Los nombres de campo de estos mensajes de validación registrados no se redactan. También los errores con el código ASX1079 tienen nombres de campo que no están redactados.

Bajo
(1.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
7.0.4,
6.6.6

Junio de 2022

CVE-2022-33173

Analytics Remote Links puede degradar temporalmente a una conexión no TLS para determinar el puerto TLS.

En caso de fallo al establecer la conexión TLS para un enlace remoto de Analytics configurado con cifrado=full, el tiempo de ejecución intentaría descubrir el puerto TLS (no predeterminado) intentando una conexión no TLS con el clúster remoto, utilizando SCRAM-SHA para la autenticación. Aunque las credenciales no se comparten cuando se utiliza SCRAM-SHA, no cabe esperar que el sistema rebaje el nivel de cifrado prescrito que especificaba una conexión TLS. Este mecanismo de fallback ha sido eliminado, y en un fallo para establecer inicialmente una conexión TLS, el CONNECT LINK simplemente fallará hasta que el puerto TLS correcto sea proporcionado como parte de la configuración del enlace.

Bajo
(2.0)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Servidor
7.0.4,
6.6.6

Junio de 2022

CVE-2022-32565

El registro del servicio de copia de seguridad filtra nombres de usuario e identificadores de documentos no censurados.

Si el servicio de copia de seguridad no registra un mensaje de auditoría, filtra los datos del registro de auditoría en backup_service.log, que no se redacta.

Bajo
(1.8)

Servidor Couchbase

Servidor
7.0.x

Servidor
7.1.0

Junio de 2022

CVE-2020-14040

Actualiza el paquete golang.org/x/text a 0.3.4 o posterior.

El paquete golang.org/x/text/encoding/unicode que podría llevar al decodificador UTF-16 a entrar en un bucle infinito, haciendo que el programa se bloquee o se quede sin memoria.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Servidor
7.0.4,
6.6.6

Junio de 2022

CVE-2022-32192

couchbase-cli filtra la contraseña maestra de Gestión de Secretos como argumento de la línea de comandos.

El couchbase-cli genera un proceso erlang de muy corta duración que tiene la contraseña maestra como argumento de proceso, esto significa que si alguien obtiene la lista de procesos en ese momento tendrá la contraseña maestra. Esto sólo afecta a los clusters de Couchbase Server que utilizan la característica de Gestión de Secretos.

Medio
(5.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Servidor
7.0.4,
6.6.6

Junio de 2022

CVE-2022-32562

Las operaciones pueden tener éxito en la colección utilizando permisos RBAC obsoletos.

Si un rol RBAC contiene un permiso a nivel de colección (por ejemplo, query_select[src:_default:Collection1]) y el nombre de la colección se elimina y se vuelve a crear en el bucket, el permiso a nivel de colección seguirá siendo válido. Esto permite al usuario con el rol acceder a la colección aunque su permiso debería haberse eliminado cuando se eliminó la colección.

Alta
(8.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.0.4

Junio de 2022

CVE-2022-32560

XDCR - carece de comprobación de roles al cambiar la configuración interna.

En las versiones afectadas de Couchbase Server, la configuración interna de XDCR puede ser modificada sin necesidad de autenticación.

Medio
(4.0)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Servidor
7.0.4

Junio de 2022

CVE-2022-32564

couchbase-cli: server-eshell filtra la cookie de Cluster Manager.

En las versiones afectadas de Couchbase Server, la "cookie" Erlang se pasa a través de un argumento de línea de comandos a 'erl' cuando se utiliza el comando 'server-eshell'; esto filtró la "cookie" a todos los que podían leer los argumentos del proceso 'couchbase-cli'. La cookie debe permanecer secreta ya que puede ser utilizada para realizar tareas administrativas en el cluster.

Alta
(7.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.1.0,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x,
1.x

Servidor
7.0.4,
6.6.6

Junio de 2022

CVE-2021-3737

Python actualizado a 3.9.12 para solucionar un problema de denegación de servicio.
Se ha encontrado un fallo en Python. Una respuesta HTTP manejada incorrectamente en el código cliente HTTP de Python puede permitir a un atacante remoto, que controle el servidor HTTP, hacer que el script cliente entre en un bucle infinito, consumiendo tiempo de CPU. Este problema sólo afecta a los clústeres que utilizan la función de vista previa para desarrolladores, Analytics UDFs.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.0.4

Junio de 2022

CVE-2022-32558

La carga de cubos de muestra puede filtrar contraseñas de usuarios internos durante un fallo.

Un fallo al cargar un cubo de muestras (beer-sample, gamesim-sample, travel-sample) puede filtrar la contraseña del usuario administrador interno @ns_server en los registros (debug.log, error.log, info.log, reports.log). La cuenta @ns_server puede utilizarse para realizar acciones administrativas.

Medio
(6.4)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Servidor
7.0.4,
6.6.6

Junio de 2022

CVE-2022-32193

La clave privada puede registrarse durante un fallo del componente Cluster Manager de Couchbase Server.

Al realizar adiciones de nodos de clúster, un fallo del Cluster Manager (ns_server) puede provocar que la clave privada se filtre en los archivos de registro. Alguien que tenga acceso a los archivos de registro puede ser capaz de descifrar las conexiones de red seguras al clúster. Si se utiliza TLS, pueden obtenerse las credenciales de los usuarios y las aplicaciones que inician sesión en el clúster.

Medio
(6.3)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Servidor
7.0.4,
6.6.6

Junio de 2022

CVE-2022-32561

Las mitigaciones anteriores para CVE-2018-15728 resultaron insuficientes cuando se descubrió que aún se podía acceder a los endpoints de diagnóstico desde la red.

Los endpoints de diagnóstico como diag/eval están restringidos y solo pueden ejecutarse desde la red loopback. Sin embargo, las comprobaciones establecidas para abordar CVE-2018-15728 no comprueban correctamente si un encabezado "X-Forwarded-For" contiene una dirección de loopback. Esta cabecera puede manipularse para eludir la restricción de loopback.

La vulnerabilidad se limita a las solicitudes originadas en la red privada y los espacios de direcciones compartidos, según RFC6890.

Para poder enviar correctamente peticiones a estos puntos finales, un usuario necesita privilegios administrativos completos, independientemente de la cabecera "X-Forwarded-For" utilizada.

Una solución para este problema es cortar las peticiones a los nodos del Servidor Couchbase que contengan cabeceras "X-Forwarded-For" en entornos donde no sean necesarias.

Reconocimiento: Mucahit Karadag / PRODAFT

Alta
(8.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Servidor
6.6.5,
7.0.4

Junio de 2022

CVE-2022-32557

Index Service no impone la autenticación para servidores TCP/TLS.

El Servicio de Índice ejecuta varios procesos de red, Queryport, Dataport y Adminport. Se utilizan para comunicarse con otros servicios de Couchbase. Estos procesos participan en la comunicación nodo a nodo, pero no se comunican directamente con las aplicaciones SDK. En las versiones afectadas de Couchbase Server, estos procesos de red no aplican autenticación, por lo que procesarán peticiones enviadas por usuarios no autenticados.

El servidor Queryport puede responder a un usuario no autenticado con los resultados del escaneo de índices.

El servidor Dataport puede permitir que un usuario no autenticado modifique los datos indexados.

El servidor Adminport puede permitir a usuarios no autenticados realizar operaciones DDL (como crear y eliminar índices).

Posible solución: Como estos puertos se utilizan sólo para la comunicación interna por Couchbase Server, cualquier conexión/comunicación con nodos y procesos que no sean de Couchbase Server se puede deshabilitar en la capa de red.

Alta
(8.2)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Servidor
7.0.4

Junio de 2022

CVE-2022-32559

Las peticiones http aleatorias conducen a métricas filtradas.

Los usuarios no autenticados pueden realizar una llamada REST API al gestor de clústeres. Cada solicitud http que no haya sido vista antes por el gestor de clústeres conduce a la creación de una nueva métrica. Cada nueva métrica ocupa algo de memoria y algo de espacio en disco, lo que puede crear una fuga de memoria y una fuga de espacio en disco. Si se usan suficientes recursos, puede causar que un nodo del Servidor Couchbase falle.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.0.4

Junio de 2022

CVE-2022-32563

No se verifican las credenciales de administrador al usar autenticación de certificado de cliente X.509 desde Sync Gateway a Couchbase Server.

Cuando Sync Gateway está configurado para autenticarse con Couchbase Server mediante certificados de cliente X.509, se ignoran las credenciales de administrador proporcionadas a la API REST de administración, lo que da lugar a una escalada de privilegios para usuarios no autenticados. Este problema no afecta a la API REST pública.

Solución: Sustituya la autenticación basada en certificados X.509 por la autenticación mediante nombre de usuario y contraseña en la configuración de arranque.

Crítica
(9.8)

Pasarela de sincronización Couchbase

Pasarela de sincronización Couchbase:
3.0.0,
3.0.1

3.0.2

Junio de 2022

CVE-2021-33504

La adición de nodos no fiables puede manipularse para obtener el secreto de un clúster.

Los administradores que añadan un nodo no fiable a un clúster podrían arriesgarse inadvertidamente a transmitir la cookie del clúster, que debería permanecer secreta.

Esto puede solucionarse desplegando encriptación TLS con certificados firmados por la Autoridad de Certificación. Cuando se utiliza TLS, se requiere un certificado de confianza para estar presente en el nodo de entrada de Couchbase Server versión 7.1.0.

Reconocimiento: Ofir Hamam, investigador de seguridad del Centro de Seguridad Avanzada de EY Israel

Alta
(7.6)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.1.0

Mayo de 2022

CVE-2022-26311

Secretos no redactados en registros recogidos de entornos Kubernetes.

Couchbase Operator 2.2.0 introdujo una optimización que simplificó la recolección de logs. Cuando se recopilan los registros, la herramienta de soporte - "cbopinfo" - se utiliza para recopilar los recursos Kubernetes necesarios para obtener información sobre el estado de los recursos previstos, y el estado actual de los recursos. Antes de las versiones afectadas, los datos secretos se redactaban, sin embargo, esta funcionalidad no se conservó en el nuevo método de recopilación. Como resultado, los registros podrían contener erróneamente contraseñas, tokens y claves privadas dentro del ámbito de la recopilación de registros. Por defecto, este ámbito se limitará al espacio de nombres de Kubernetes en el que reside el clúster de Couchbase Server bajo inspección. La excepción a esto es si se especificó la bandera --system, en cuyo caso todos los secretos de la plataforma habrán sido expuestos. Los registros se utilizan para identificar y remediar los problemas de los clientes, y por lo tanto sólo los clientes que han proporcionado los registros, con las versiones de la herramienta especificada, se ven afectados. Couchbase se asegurará de que todos los registros afectados que hayan sido proporcionados sean redactados.

Alta
(7.2)

Operador nativo en la nube de Couchbase

2.2.0,
2.2.1,
2.2.2

2.2.3

Marzo de 2022

CVE-2021-44228

Actualización de Apache Log4J a 2.15.0

Un problema crítico en la utilidad Apache Log4J utilizada por el servicio Couchbase Analytics requiere actualización para evitar la posible ejecución remota de código (RCE) y la extracción de datos confidenciales.

Crítica
(10)

Servidor Couchbase

Servidor
7.0.2,
7.0.1,
7.0.0,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Servidor
7.0.3,
6.6.4

Diciembre de 2021

CVE-2021-43963

Sync Gateway almacena de forma insegura las credenciales del bucket de Couchbase Server

Las credenciales del bucket utilizadas por Sync Gateway para leer y escribir datos en Couchbase Server se almacenaban de forma insegura en los metadatos de los documentos de sincronización escritos en el bucket. Los usuarios con acceso de lectura podían utilizar estas credenciales para obtener acceso de escritura. Este problema no afecta a los clústeres en los que Sync Gateway se autentica con certificados de cliente x.509. Este problema tampoco afecta a los clústeres en los que el acceso a buckets compartidos no está habilitado en Sync Gateway.

Medio
(6.5)

Pasarela de sincronización Couchbase

Pasarela de sincronización
2.8.2,
2.8.1,
2.8.0,
2.7.x

Sync Gateway 2.8.3

Octubre de 2021

CVE-2021-37842

Los registros no redactan las credenciales XDCR remoteCluster

Las credenciales XDCR del Cluster Remoto pueden filtrarse en los registros de depuración. Config key tombstone purging fue añadido en Couchbase Server 7.0.0. Este problema ocurre cuando una config key, que está siendo registrada, tiene una tombstone purger time-stamp adjunta a ella.

Alta
(7.6)

Servidor Couchbase

Servidor
7.0.1,
7.0.0

Servidor
7.0.2

Octubre de 2021

CVE-2021-42763

Credenciales expuestas en el registro de errores de un fallo a partir de un backtrace

Como parte de una colección de logs cbcollect_info, Couchbase Server recoge la información de proceso de todos los procesos que se ejecutan en la VM Erlang. El problema se produce cuando el gestor de cluster reenvía una petición HTTP desde la interfaz de usuario pluggable (query workbench, etc.) al servicio específico. En el backtrace, el Basic Auth Header incluido en la petición HTTP, tiene las credenciales de usuario "@" del nodo que procesa la petición de la UI. Para que se produzca el problema, la información del proceso debe activarse en el momento exacto en que el gestor de clúster atiende una solicitud de interfaz de usuario conectable.

Alta
(8.8)

Servidor Couchbase

Sever
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Servidor
6.6.3,
7.0.2

Octubre de 2021

CVE-2021-33503

Actualización de Python urllib3 a 1.26.5 o superior

Se ha descubierto un problema en urllib3 anterior a 1.26.5, utilizado por las herramientas de línea de comandos de Couchbase Server. Cuando a estas herramientas se les proporciona una URL que contiene muchos caracteres @ en el componente de autoridad, la expresión regular de autoridad muestra un retroceso catastrófico, causando una denegación de servicio de la herramienta de línea de comandos si se pasa una URL como parámetro o se redirige a través de una redirección HTTP.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Servidor
6.6.3,
7.0.2

Octubre de 2021

CVE-2020-36242

Actualización del paquete criptográfico Python a 3.3.2

En el paquete de criptografía anterior a la versión 3.3.2 para Python, utilizado por las herramientas de línea de comandos de Couchbase Server, ciertas secuencias de llamadas de actualización para cifrar simétricamente valores de varios GB podían provocar un desbordamiento de enteros y un desbordamiento de búfer en dicha herramienta.

Crítica
(9.1)

Servidor Couchbase

Sever
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Servidor
6.6.3,
7.0.2

Octubre de 2021

CVE-2021-35944

Un paquete de red especialmente diseñado enviado por un atacante puede bloquear memcached.

Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.

Alta
(8.2)

Servidor Couchbase

Servidor
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
6.6.3,
7.0.1

Septiembre de 2021

CVE-2021-35945

Un paquete de red especialmente diseñado enviado por un atacante puede bloquear memcached.

Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.

Alta
(8.2)

Servidor Couchbase

Servidor
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Servidor
6.6.3,
7.0.1

Septiembre de 2021

CVE-2021-35943

No se impide que los usuarios gestionados externamente utilicen una contraseña vacía, según RFC4513.

Si un servidor LDAP o Active Directory, utilizado para la autenticación externa, está configurado para permitir enlaces inseguros no autenticados, Couchbase Server Cluster Manager permitirá que un usuario externo sea autenticado con una contraseña vacía.

Los servidores LDAP pueden configurarse para que fallen las peticiones Unauthenticated Bind con un resultCode de "unwillingToPerform" para evitar que esto ocurra.

Crítica
(9.8)

Servidor Couchbase

Servidor
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor 6.6.3

Agosto de 2021

CVE-2021-23840

CVE-2021-3450

CVE-2021-3449

Actualizar OpenSSL a la versión 1.1.1k

Se han resuelto varios problemas de seguridad en OpenSSL, uno de los cuales podía provocar el bloqueo del servidor TLS si un cliente enviaba un mensaje ClientHello de renegociación malintencionado.

Media / Alta
(5.9,
7.4,
7.5)

Servidor Couchbase

Servidor
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor 6.6.3

Agosto de 2021

CVE-2019-10768

Actualizar AngularJS a 1.8.0

Problema en Angular tal y como lo utiliza la interfaz de usuario de Couchbase que puede provocar una denegación de servicio modificando la función merge().

Alta
(7.5)

Servidor Couchbase

Servidor
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Servidor 6.6.3

Agosto de 2021

CVE-2021-31158

N1QL Common Table Expressions (CTEs) manejaba incorrectamente el control de acceso.

Las consultas N1QL de Expresión de Tabla Común no respetaban correctamente los controles de seguridad RBAC, dando acceso de lectura a usuarios que no tenían la autorización requerida.

Medio
(6.5)

Servidor Couchbase

Servidor
6.6.1,
6.6.0,
6.5.2,
6.5.1,
6.5.0

Servidor 6.6.2

Febrero de 2020

CVE-2019-14863

FTS UI para actualizar a angular 1.6.9

La interfaz de usuario de Full Text Seach utiliza AngularJS 1.4.7 para la que existen algunas vulnerabilidades de seguridad conocidas de alta gravedad. Estas bibliotecas AngularJS se han actualizado a una versión más reciente de Angular que ha solucionado estas vulnerabilidades.

Alta
(7.4)

Servidor Couchbase

6.0.2,
5.5.5

6.5.0

Enero de 2020

CVE-2020-9040

Hasta core-io 1.7.11 (y, en consecuencia, Java SDK 2.7.11), la verificación del nombre de host en conexiones TLS/SSL no está habilitada y puede suponer un riesgo para la seguridad en determinados entornos.

Java 6 (JDK 1.6, la versión de referencia del SDK más antigua) no admitía la verificación de nombres de host de forma predeterminada. Una vez que el SDK pasó a Java 7 (Java 1.7) como versión de referencia, fue posible añadir soporte. Esto ocurrió en jvm-core 1.7.11 (que se traduce en java-client 2.7.11). No es posible en versiones anteriores añadirlo manualmente como solución, porque las facilidades para personalizarlo en consecuencia no están expuestas. Ten en cuenta que para no romper las aplicaciones que dependen del comportamiento antiguo, la verificación del nombre de host sigue desactivada por defecto, pero puede activarse en la configuración del SDK (clase CouchbaseEnvironment).

Alta
(7.5)

SDK Java de Couchbase
Conector Spark de Couchbase
Conector Kafka de Couchbase
(Conectores según Java SDK o Core-IO)

1.7.10,
1.6.0,
1.5.0,
1.4.0,
1.3.0,
1.2.0,
1.1.0,
1.0.0

2.7.11

Abril de 2019

CVE-2020-9039

Los puntos finales REST del proyector y del indexador no requerían autenticación

El punto final /settings REST expuesto por el proceso proyector es un punto final que los administradores pueden utilizar para diversas tareas, como actualizar la configuración y recopilar perfiles de rendimiento. El punto final no estaba autenticado y se ha actualizado para que solo los usuarios autenticados puedan acceder a estas API administrativas.

Reconocimiento: Equipo de seguridad de Apple

Alta
(7.6)

Servidor Couchbase

5.5.1,
5.5.0,
5.0.1,
5.0.0,
4.6.x,
4.5.x,
4.1.x,
4.0.x

6.5.0
6.0.0
5.5.2
5.1.2

Septiembre de 2018

CVE-2020-9042

Couchbase Server devuelve una respuesta WWW-Authenticate a peticiones no autenticadas

La API REST del servidor responde con un encabezado {{WWW-Authenticate}} a las solicitudes no autenticadas que permite al usuario autenticarse a través de un cuadro de diálogo de usuario / contraseña en un navegador web. El problema es que estas credenciales son almacenadas en caché por el navegador, lo que permite a un hacker utilizar CSRF para atacar un clúster en el caso de que un administrador haya utilizado su navegador para comprobar los resultados de una solicitud de API REST. Este comportamiento se puede desactivar utilizando couchbase-cli (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Esto no está desactivado por defecto ya que podría romper las herramientas o scripts existentes.

Reconocimiento: Equipo de seguridad de Apple

Medio
(6.3)

Servidor Couchbase

6.0.0

6.5.1

Abril de 2020

CVE-2019-11464

El puerto 8092 echa en falta la cabecera de protección X-XSS

Algunas empresas exigen que los puntos finales de la API REST incluyan cabeceras relacionadas con la seguridad en las respuestas REST. Cabeceras como X-Frame-Options y X-Content-Type-Options son generalmente recomendables, sin embargo algunos profesionales de la seguridad de la información adicionalmente buscan X-Permitted-Cross-Domain-Policies y X-XSS-Protection, que son más generalmente aplicables a HTML endpoint, para ser incluidos también. Estas cabeceras se incluyen ahora en las respuestas de la API REST de Couchbase Server Views (puerto 8092).

Medio
(5.4)

Servidor Couchbase

5.5.0
5.1.2

6.0.2

Marzo de 2019

CVE-2019-9039

Evitar la inyección de N1QL en Sync Gateway a través de _all_docs startkey, endkey

Un atacante con acceso a la API REST pública de Sync Gateway pudo emitir sentencias N1QL adicionales y extraer datos confidenciales o llamar a funciones N1QL arbitrarias a través de los parámetros "startkey" y "endkey" en el endpoint "_all_docs". Mediante la emisión de consultas anidadas con operaciones de uso intensivo de CPU pueden haber sido capaces de causar un mayor uso de recursos y condiciones de denegación de servicio. El endpoint _all_docs no es necesario para la replicación de Couchbase Mobile, y el acceso externo a este endpoint REST ha sido bloqueado para mitigar este problema.

Reconocimiento: Denis Werner/HiSolutions AG

Alta
(7.6)

Pasarela de sincronización Couchbase

2.1.2

2.5.0
2.1.3

Febrero de 2019

CVE-2019-11466

El punto final de depuración de eventos debe aplicar la autenticación.

El servicio de eventos expone un perfil de diagnóstico del sistema a través de un punto final HTTP que no requiere credenciales en un puerto destinado únicamente al tráfico interno. Esto se ha remediado y ahora se requieren credenciales válidas para acceder.

Alta
(7.1)

Servidor Couchbase

6.0.0
5.5.0

6.0.1

Diciembre de 2018

CVE-2019-11465

El comando "connections" stat block de Memcached emite un nombre de usuario no redactado

La información del sistema enviada a Couchbase como parte de un informe de error incluía los nombres de usuario de todos los usuarios que habían iniciado sesión en el sistema, incluso si el registro se había redactado en aras de la privacidad.

Esto se ha corregido para que los nombres de usuario se etiqueten correctamente en los registros y se eliminen cuando se redacten los registros.

Medio
(6.5)

Servidor Couchbase

6.0.0,
5.5.3,
5.5.2,
5.5.1,
5.5.0

6.0.1
5.5.4

Enero de 2019

CVE-2018-15728

El endpoint /diag/eval no está bloqueado en localhost.

Couchbase Server expuso el endpoint '/diag/eval', que, por defecto, está disponible en TCP/8091 y/o TCP/18091. Autentificado usuarios que han Administración completa rol asignado podía enviar código Erlang arbitrario al endpoint 'diag/eval' de la API y el código se ejecutaría posteriormente en el sistema operativo subyacente con privilegios del usuario que se utilizó para iniciar Couchbase.

Reconocimiento: Equipo de seguridad de Apple

Alta
(8.8)

Servidor Couchbase

5.5.1,
5.5.0,
5.1.1,
5.0.1,
5.0.0,
4.6.5,
4.5.1,
4.1.2,
4.0.0

6.0.0
5.5.2

Octubre de 2018

CVE-2019-11495

La cookie Erlang utiliza una semilla aleatoria débil.

La cookie utilizada para la comunicación intra-nodo no se generó de forma segura. Couchbase Server utiliza erlang:now() para sembrar el PRNG, lo que resulta en un pequeño espacio de búsqueda de semillas aleatorias potenciales que podrían ser utilizadas para forzar la cookie y ejecutar código contra un sistema remoto.

Reconocimiento: Equipo de seguridad de Apple

Alta
(7.9)

Servidor Couchbase

5.1.1

6.0.0

Septiembre de 2018

CVE-2019-11467

Un documento JSON con más de 3.000 caracteres '\t' bloquea el indexador.

La indexación secundaria codifica las entradas a indexar utilizando collatejson. Cuando las entradas del índice contenían ciertos caracteres como \t, , se producía un desbordamiento del búfer, ya que la cadena codificada era mucho mayor de lo previsto, lo que provocaba que el servicio de indexación se bloqueara y reiniciara. Esto se ha remediado ahora para asegurar que el búfer siempre crece según sea necesario para cualquier entrada.

Reconocimiento: D-Trust GmbH

Medio
(5.8)

Servidor Couchbase

5.5.0,
4.6.3

5.1.2,
5.5.2

Agosto de 2018

CVE-2019-11497

XDCR no valida un certificado de cluster remoto.

Cuando se introducía un certificado de clúster remoto no válido como parte de la creación de referencias, XDCR no analizaba ni comprobaba la firma del certificado. A continuación, aceptaba el certificado no válido e intentaba utilizarlo para establecer futuras conexiones con el clúster remoto. Esto se ha solucionado. XDCR comprueba ahora la validez del certificado de forma exhaustiva y evita que se cree una referencia de clúster remoto con un certificado no válido.

Alta
(7.5)

Servidor Couchbase

5.0.0

5.5.0

Junio de 2018

CVE-2019-11496

La edición de la configuración del bucket en Couchbase Server permite la autenticación sin credenciales.

En versiones de Couchbase Server anteriores a la 5.0, el bucket llamado "default" era un bucket especial que permitía acceso de lectura y escritura sin autenticación. Como parte de la versión 5.0, el comportamiento de todos los cubos, incluido "default", se modificó para permitir el acceso únicamente a usuarios autenticados con autorización suficiente. Sin embargo, los usuarios podían acceder sin autenticación y sin autorización al cubo "por defecto" si se editaban las propiedades de este cubo. Esto se ha corregido.

Alta
(8.7)

Servidor Couchbase

5.0.0

5.1.0
5.5.0

Diciembre de 2017

Plataforma

Autogestionado

Servicios

Capacidades

¿Por qué Couchbase?

Migrar a Capella

Por caso de uso

Por sector

Por necesidad de aplicación

Documentos populares

Por función de desarrollador

Inicio rápido

Centro de recursos

Acerca de

Asociaciones

Nuestros servicios

Socios: Registrar una operación

¿Listo para registrar un acuerdo con Couchbase?

Marriott

Alertas de Couchbase

Alertas de seguridad para empresas

Empezar a construir

Utilizar Capella gratis

Póngase en contacto