Avvisi di Couchbase

CVE	Sinossi	Impatto (CVSS)	Prodotti	Influenza la versione	Correggere la versione	Data di pubblicazione
CVE-2025-52490	Credential Disclosure Vulnerability in Sync Gateway Log Collection Process A security vulnerability was identified in Sync Gateway that, in certain situations, resulted in the unintentional disclosure of credentials associated with log collection for support. This affected the set of credentials used to initiate the log collection process. We recommend upgrading to Sync Gateway 3.2.6, which addresses this issue, and rotating any credentials that were used to initiate log collection during the affected period.	Medio (6.5)	Gateway di sincronizzazione Couchbase	3.2.5, 3.2.4, 3.2.3, 3.2.2, 3.2.1, 3.2.0, 3.1.x, 3.0.x	3.2.6	July 2025
CVE-2025-49015	.NET SDK v3.7.1 e precedenti potevano saltare la verifica del nome dell'host del certificato In .NET SDK v3.7.1 e precedenti, la verifica dell'hostname per i certificati TLS non veniva applicata correttamente in tutti i casi.	Medio (4.9)	SDK .NET di Couchbase	3.7.0, 3.6.x, 3.5.x, 3.4.x, 3.3.x, 3.2.x, 3.1.x, 3.0.x	3.7.1	Giugno 2025
CVE-2024-30171 CVE-2024-29857 CVE-2024-30172	Aggiornare Bouncy Castle a 1.79 È stato rilevato un problema nelle API di crittografia Java di Bouncy Castle precedenti alla versione 1.78. È possibile che si verifichi un ciclo infinito del codice di verifica Ed25519 tramite una firma e una chiave pubblica modificate.	Medio (6.9)	Server Couchbase	Server 7.6.5, 7.6.4, 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.6, 7.2.7	Maggio 2025
CVE-2025-46619	Vulnerabilità di inclusione locale di file identificata in Couchbase Server per Windows È stato scoperto un problema di sicurezza in Couchbase Server per Windows che potrebbe consentire l'accesso non autorizzato a file sensibili sul sistema. A seconda del livello di privilegi, questa vulnerabilità può consentire l'accesso a file come / etc / passwd o / etc / shadow.	Alto (8.7)	Server Couchbase	Server 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.6.4, 7.2.7	Aprile 2025
CVE-2024-21235	Aggiornare JDK a 17.0.13 Questa vulnerabilità è difficile da sfruttare, ma consente a un aggressore non autenticato con accesso alla rete tramite più protocolli di compromettere potenzialmente i prodotti interessati. Uno sfruttamento riuscito potrebbe portare ad aggiornamenti, inserimenti o cancellazioni non autorizzati di dati accessibili, nonché all'accesso in lettura non autorizzato a determinati sottoinsiemi di dati.	Medio (4.8)	Server Couchbase	Server 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.4, 7.2.7	Aprile 2025
CVE-2024-56178	Creazione non autorizzata di un utente con ruoli elevati Un utente con il ruolo security_admin_local potrebbe creare un nuovo utente in un gruppo che ha il ruolo "admin", concedendo potenzialmente privilegi elevati oltre le autorizzazioni previste.	Medio (6.9)	Server Couchbase	Server 7.6.3, 7.6.2, 7.6.1, 7.6.0	Server 7.6.4	Dicembre 2024
CVE-2024-21094 CVE-2024-21011 CVE-2024-21068 CVE-2024-21012	Aggiornare JDK a 17.0.11 La vulnerabilità consente ad aggressori non autorizzati con accesso alla rete tramite più protocolli di compromettere Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Gli attacchi riusciti a questa vulnerabilità possono comportare l'accesso non autorizzato all'aggiornamento, all'inserimento o alla cancellazione di alcuni dati accessibili di Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition.	Basso (3.7)	Server Couchbase	Server 7.6.1, 7.6.0, 7.2.5 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.2, 7.2.6	Agosto 2024
CVE-2016-2183 CVE-2016-6329	Porte di gestione dei cluster vulnerabili alla vulnerabilità SWEET32. I cifrari DES e Triple DES, utilizzati nei protocolli TLS, SSH e IPSec e in altri protocolli e prodotti, hanno un limite di compleanno di circa quattro miliardi di blocchi, il che rende più facile per gli aggressori remoti ottenere dati in chiaro tramite un attacco di compleanno contro una sessione crittografata di lunga durata, come dimostrato da una sessione HTTPS che utilizza Triple DES in modalità CBC, alias un attacco "Sweet32".	Alto (8.7)	Server Couchbase	Server 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x 4.x 3.x, 2.x	Server 7.6.0, 7.2.6	Agosto 2024
CVE-2024-25673	Vulnerabilità della manipolazione delle intestazioni. L'intestazione Host di una richiesta HTTP in entrata è stata copiata alla cieca nell'intestazione Location.	Medio (4.2)	Server Couchbase	Server 7.6.1, 7.6.0, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.6.2, 7.2.6	Agosto 2024
CVE-2024-37034	Le credenziali vengono negoziate con KV utilizzando SCRAM-SHA quando la crittografia del collegamento remoto è configurata per HALF. L'SDK negozierà con SCRAM-SHA per impostazione predefinita, il che consente a un MITM di negoziare per ottenere credenziali PLAIN.	Medio (5.9)	Server Couchbase	Server 7.6.0, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.1, 7.2.5	Luglio 2024
CVE-2024-0519	Aggiornare la v8 alla 12.1.285.26. L'accesso alla memoria fuori dai limiti in V8 in Google Chrome prima della versione 120.0.6099.224 permetteva a un aggressore remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML modificata.	Alto (8.8)	Server Couchbase	Server 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.6.2, 7.2.5	Luglio 2024
CVE-2023-50782	Aggiornare pyca-cryptography a 42.0.5. È stata rilevata una falla nel pacchetto python-cryptography. Questo problema può consentire a un aggressore remoto di decifrare i messaggi catturati nei server TLS che utilizzano scambi di chiavi RSA, il che può portare all'esposizione di dati riservati o sensibili.	Alto (7.5)	Server Couchbase	Server 7.6.1, 7.6.0	Server 7.6.2, 7.2.5	Luglio 2024
CVE-2023-49338	L'endpoint Query Service stats era accessibile senza autenticazione. L'endpoint Query stats non implementava l'autenticazione corretta, rendendo possibile la visualizzazione delle informazioni sulle statistiche.	Medio (5.3)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.4	Gennaio 2024
CVE-2023-45873	L'utente con il ruolo di lettore di dati potrebbe uccidere il servizio dati. Un utente con il privilegio di lettore di dati potrebbe uccidere il servizio dati inviando GetKeys che richiede un numero elevato di documenti, innescando un errore OOM (Out-of-Memory).	Medio (6.5)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Server 7.2.4	Gennaio 2024
CVE-2023-45874	I lettori di dati potrebbero eseguire il DOS dei thread di lettura. Un utente con il ruolo di lettore di dati potrebbe bloccare un thread di lettura del servizio dati per un tempo significativo richiedendo un numero elevato di chiavi e potenzialmente bloccare tutti i thread di lettura emettendo lo stesso comando su più connessioni.	Medio (4.3)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Server 7.2.4	Gennaio 2024
CVE-2023-43769	Porte del servizio RMI non autenticate esposte nel servizio di analisi. Le porte di rete 9119 e 9121 erano porte di servizio RMI non autenticate ospitate dal servizio di analisi, che potevano causare l'escalation dei privilegi.	Critico (9.1)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.2.4	Gennaio 2024
CVE-2023-50437	otpCookie è stato mostrato a un utente con ruolo di amministratore completo sugli endpoint API serverGroups e engageCluster2 di Cluster Manager. L'otpCookie del cluster è stato divulgato agli utenti con il ruolo Full Admin sull'endpoint API serverGroups e sia Cluster Admin che Full Admin sull'endpoint API engageCluster2. Questo potrebbe essere usato per elevare i privilegi.	Alto (8.6)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.4	Gennaio 2024
CVE-2023-49931	Le chiamate cURL di SQL++ a / diag / eval non erano sufficientemente limitate. La chiamata a cURL tramite SQL++ (N1QL) utilizzando il Query Service verso l'endpoint localhost / diag / eval non era completamente impedita.	Alto (8.6)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Server 7.2.4	Gennaio 2024
CVE-2023-49932	Problema di implementazione delle restrizioni dell'host di SQL++ N1QL cURL. La protezione cURL allowlist di SQL++ (N1QL) nel Query Service non era sufficiente a impedire l'accesso a host riservati.	Medio (5.3)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Server 7.2.4	Gennaio 2024
CVE-2023-49930	Le chiamate cURL di SQL++ a diag eval non erano sufficientemente limitate. La chiamata di cURL tramite SQL++ (N1QL) attraverso il Servizio eventi all'endpoint diag eval dell'host locale non era completamente impedita.	Alto (8.6)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.5.x	Server 7.2.4	Gennaio 2024
CVE-2023-50436	L'utente interno Full Admin per le credenziali di gestione del cluster è trapelato nel file di registro. Un evento di registrazione ha causato la fuoriuscita delle credenziali di amministrazione interne di @ns_server in forma codificata in diag.log.	Basso (2.1)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.6, 7.1.5	Server 7.2.4	Gennaio 2024
CVE-2024-23302	Chiave privata TLS trapelata nel file di registro XDCR. La chiave privata utilizzata per Cross Datacenter Replication (XDCR) è trapelata nel file goxdcr.log.	Basso (2.1)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.5.x	Server 7.2.4	Gennaio 2024
CVE-2023-38545	Aggiornare cURL alla versione 8.4.0. La falla in curl fa andare in overflow un buffer basato su heap nell'handshake del proxy SOCKS5.	Critico (9.8)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Server 7.2.4	Gennaio 2024
CVE-2023-5678	Aggiornare a OpenSSL 3.1.4. Le applicazioni che utilizzano le funzioni DH_generate_key() per generare una chiave X9.42 DH e le applicazioni che utilizzano DH_check_pub_key(), DH_check_pub_key_ex() o EVP_PKEY_public_check() per verificare una chiave X9.42 DH o i parametri X9.42 DH possono subire lunghi ritardi. Se la chiave o i parametri da verificare sono stati ottenuti da una fonte non attendibile, ciò può portare a un Denial of Service.	Medio (5.3)	Server Couchbase	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.4	Gennaio 2024
CVE-2023-44487	Aggiornare gRPC alla versione 1.58.3. Il protocollo HTTP/2 consente di negare il servizio perché l'annullamento della richiesta può azzerare rapidamente molti flussi.	Alto (7.5)	Server Couchbase	Server 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.3, 7.1.6	Novembre 2023
CVE-2023-44487	Aggiornare Golang alla versione 1.20.10. Il protocollo HTTP/2 consente di negare il servizio perché l'annullamento della richiesta può azzerare rapidamente molti flussi.	Alto (7.5)	Server Couchbase	Server 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.3, 7.1.6	Novembre 2023
CVE-2023-0464	Aggiornare a OpenSSL 1.1.1u. Una vulnerabilità in OpenSSL relativa alla verifica delle catene di certificati X.509 che includono vincoli di policy, che consentirebbe agli aggressori di sfruttare questa vulnerabilità creando una catena di certificati dannosa che innesca un uso esponenziale delle risorse computazionali, portando a un attacco denial-of-service (DoS) sui sistemi interessati.	Alto (7.5)	Server Couchbase	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.1, 7.1.5	Novembre 2023
CVE-2022-41723	Aggiornamento di GoLang alla versione 1.19.9. Un flusso HTTP/2 creato in modo malevolo potrebbe causare un consumo eccessivo di CPU nel decodificatore HPACK, sufficiente a causare una negazione del servizio da un numero ridotto di piccole richieste.	Alto (7.5)	Server Couchbase	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.1, 7.1.5	Novembre 2023
CVE-2023-3079 CVE-2023-2033	Aggiornare V8 a 11.4.185.1. La confusione di tipo in V8 di Google Chrome precedente alla versione 114.0.5735.110 consentiva a un utente remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML modificata.	Alto (8.0)	Server Couchbase	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.1, 7.1.5	Novembre 2023
CVE-2023-21930 CVE-2023-21954 CVE-2023-21967 CVE-2023-21939 CVE-2023-21938 CVE-2023-21937 CVE-2023-21968	Aggiornare OpenJDK alla versione 11.0.19. Aggiornare OpenJDK alla versione 11.0.19 per risolvere numerosi CVE.	Alto (7.4)	Server Couchbase	Server 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Server 7.1.5	Novembre 2023
CVE-2023-36667	Problema di sicurezza di Windows traversal. L'interfaccia utente di Couchbase Server Windows consente a un utente malintenzionato di attraversare il filesystem e di visualizzare i file a cui Couchbase ha accesso. Questa vulnerabilità non richiede alcuna autenticazione. È sfruttabile semplicemente aggiungendo cartelle/file all'URL dell'interfaccia utente di Couchbase Server.	Alto (7.5)	Server Couchbase	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.1, 7.1.5	Novembre 2023
CVE-2023-43768	Gli utenti non autenticati possono causare l'esaurimento della memoria di memcached. Un utente malintenzionato può facilmente mandare in crash un server memcached collegandosi al server e iniziando a inviare comandi di grandi dimensioni.	Alto (7.5)	Server Couchbase	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Server 7.2.1, 7.1.5	Novembre 2023
CVE-2023-45875	Perdita di chiave privata in debug.log durante l'aggiunta di un nodo precedente a 7.0 al cluster 7.2. La chiave privata viene trasmessa al file debug.log quando si aggiunge un nodo precedente alla versione 7.0 al cluster 7.2.	Medio (4.4)	Server Couchbase	Server 7.2.0	Server 7.2.1	Novembre 2023
CVE-2022-41881 CVE-2022-41915	Aggiornare Netty alla versione 4.1.86.Final o superiore. Nelle versioni precedenti alla 4.1.86.Final, può essere sollevato uno StackOverflowError durante l'analisi di un messaggio malformato a causa di una ricorsione infinita.	Basso (2.2)	Server Couchbase	Server 6.6.6, 7.0.5, 7.1.3	Server 7.2.0, 7.1.4	Maggio 2023
CVE-2023-28470	L'endpoint nsstats di Full Text Search (FTS) è accessibile senza autenticazione. L'endpoint FTS stats all'indirizzo / api / nsstats non implementa un'autenticazione corretta, pertanto è possibile visualizzare i nomi dei bucket di Couchbase Server, i nomi degli indici FTS e la configurazione degli indici FTS senza autenticazione. I contenuti dei bucket e degli indici non sono esposti.	Medio (5.3)	Server Couchbase	Server 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Server 7.1.4	Marzo 2023
CVE-2023-25016	Le credenziali possono essere trasmesse ai registri in caso di arresto anomalo durante l'unione di un nodo. Durante il fallimento di un'unione di nodi, le credenziali non redatte dell'utente che effettua la richiesta REST possono trapelare nei file di log.	Medio (6.3)	Server Couchbase	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x	Server 7.1.2, 7.0.5, 6.6.6	Gennaio 2023
CVE-2022-42951	Couchbase Cluster Manager non dispone di controlli di accesso durante il riavvio di un nodo del cluster. Durante l'avvio di un nodo server couchbase c'è un breve periodo di tempo in cui il cookie di sicurezza è impostato su "nocookie", che manca di controlli di accesso al protocollo di distribuzione Erlang. Se un utente malintenzionato si connette a questo protocollo durante questo periodo, può eseguire codice arbitrario da remoto su qualsiasi nodo del cluster in qualsiasi momento, finché la connessione non viene interrotta. Il codice eseguito verrà eseguito con gli stessi privilegi del server Couchbase.	Critico (9.8)	Server Couchbase	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 7.1.2, 7.0.5, 6.6.6	Gennaio 2023
CVE-2022-42004 CVE-2022-42003	Aggiornamento di Jackson Databind alla versione 2.13.4.2+ utilizzata nel servizio di analisi per risolvere le vulnerabilità. L'esaurimento delle risorse di Couchbase Analytics Service può verificarsi a causa della mancanza di un controllo che impedisca l'uso di array profondamente annidati.	Alto (7.5)	Server Couchbase	Server 7.1.2, 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1 6.6.0 6.5.x, 6.0.x, 5.x, 4.x	Server 7.1.3, 7.0.5, 6.6.6	Gennaio 2023
CVE-2022-42950	Una richiesta HTTP di tipo artigianale all'API REST può causare un OOM del servizio di backup. Un corpo di richiesta HTTP estremamente grande (o non limitato) può causare un errore OOM (out-of-memory) al servizio di backup.	Medio (4.9)	Server Couchbase	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.1.2, 7.0.5	Gennaio 2023
CVE-2022-1096	Aggiornamento del motore Javascript V8 alla versione 10.7.x. Il motore Javascript v8 utilizzato in Couchbase Server Eventing Service, View Engine, XDCR e N1QL UDF è stato aggiornato perché nelle versioni precedenti alla 99.0.4844.84 esisteva una confusione di tipo che consentiva a un aggressore remoto di sfruttare potenzialmente la corruzione dell'heap tramite una richiesta artigianale.	Alto (8.8)	Server Couchbase	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.1.2, 7.0.5	Gennaio 2023
CVE-2021-41561	Aggiornamento di Apache Parquet alla versione 1.12.3. Un utente malintenzionato può utilizzare i file Parquet, utilizzati facoltativamente da Couchbase Analytics Service, per causare un Denial of Service (DoS) se i file dannosi contengono valori impropri nell'intestazione della pagina del file (ad esempio, valori negativi laddove ci si aspetta un valore positivo). Questo problema viene risolto aggiornando la libreria Apache Parquet a una versione successiva.	Alto (7.5)	Server Couchbase	Server 7.1.1, 7.1.0	Server 7.1.2	Novembre 2022
CVE-2022-37026	Aggiornamento di Erlang alla versione 24.3.4.4. Quando si utilizza la funzione tls/ssl nel server couchbase, è possibile aggirare l'autenticazione del client in determinate situazioni. In particolare, qualsiasi applicazione che utilizza il server ssl/tls/dtls e l'opzione di certificazione del client "{verify, verify_peer}" è affetta da questa vulnerabilità. Le correzioni sono state rilasciate sui binari supportati con le patch 23.3.4.15, 24.3.4.2 e 25.0.2 del runtime erlang/OTP. Sono interessati solo i cluster che utilizzano l'autenticazione basata su certificati.	Critico (9.8)	Server Couchbase	Server 7.1.1, 7.1.0	Server 7.1.2	Novembre 2022
CVE-2022-32556	La chiave privata viene trasmessa ai file di registro con determinati arresti anomali. Alcuni rari arresti anomali potrebbero causare la fuoriuscita della chiave privata del certificato generato nei file di log.	Medio (6.3)	Server Couchbase	Server 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x	Server 7.1.1, 7.0.4, 6.6.6	Luglio 2022
CVE-2022-24675 CVE-2022-23772 CVE-2022-24921	Aggiornamento di GoLang a un minimo di 1.17.9 o 1.18.1. Aggiornato il linguaggio di programmazione Go e le librerie associate utilizzate in diversi servizi di Couchbase Server alle versioni 1.17.9+ o 1.18.1+ per risolvere numerosi CVE.	Alto (7.5)	Server Couchbase	Server 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5x, 6.0.x, 5.x, 4.x	Server 7.1.1, 7.0.5, 6.6.6	Luglio 2022
CVE-2020-36518	Aggiornamento della libreria jackson-databind alla versione 2.13.2.2. jackson-databind, prima della versione 2.13.0, consente un'eccezione Java StackOverflow e la negazione del servizio tramite una grande profondità di oggetti annidati. Questa libreria è utilizzata dal servizio di analisi del server Couchbase.	Medio (6.5)	Server Couchbase	Server 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Server 7.1.1, 7.0.4, 6.6.6	Luglio 2022
CVE-2022-1292	Aggiornamento di openssl a 1.1.1o. Aggiornato openssl per correggere una falla in un componente di openssl, c_rehash. Questo script esegue una scansione delle directory e prende un valore hash di ogni file .pem e .crt presente nella directory. Quindi crea collegamenti simbolici per ciascuno dei file denominati dal valore hash. Presenta una falla che consente l'iniezione di comandi nello script.	Critico (9.8)	Server Couchbase	Server 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 7.1.1, 7.0.4, 6.6.6	Luglio 2022
CVE-2022-34826	La passphrase della chiave privata crittografata potrebbe trapelare nei registri. In Couchbase Server 7.1.0 e successivi è possibile fornire una passphrase a Couchbase Server per sbloccare una chiave privata TLS crittografata. Questa passphrase è trapelata nei file di log come stringa codificata Base64 all'avvio di uno dei servizi Couchbase diversi dal Data Service. Ciò riguarda il Servizio indici, il Servizio query, il Servizio analisi, il Servizio backup e il Servizio eventi se si utilizza la funzione opzionale delle chiavi TLS crittografate. Si noti che un utente malintenzionato deve avere accesso ai registri e alla chiave privata per poter eseguire attacchi come l'attacco man in the middle o la decodifica delle comunicazioni di rete. L'uso di protezioni del sistema operativo per limitare l'accesso a questi file può essere una strategia di mitigazione efficace.	Medio (4.4)	Server Couchbase	Server 7.1.0	Server 7.1.1	Luglio 2022
CVE-2021-42581	Aggiornamento di ramda, una libreria javascript lato client, alla versione 0.28 utilizzata nell'interfaccia utente di Couchbase Server. Ramda 0.27.0 e versioni precedenti consentono agli aggressori di compromettere l'integrità o la disponibilità di un'applicazione fornendo un oggetto artigianale (che contiene una proprietà propria "{}proto{}") come argomento della funzione, noto come inquinamento del prototipo. Gli attacchi di tipo Prototype Pollution consentono di aggirare la convalida dell'input e di innescare un'esecuzione inaspettata di JavaScript.	Critico (9.1)	Server Couchbase	Server 7.1.0, 7.0.x	Server 7.1.1	Luglio 2022
CVE-2021-44906	Aggiornamento di js-beautify alla versione 1.14.3, una libreria javascript lato client utilizzata nell'interfaccia utente di Couchbase Server. js-beautify ha una dipendenza con una vulnerabilità nota, Minimist. Minimist <=1.2.5 è vulnerabile all'inquinamento dei prototipi tramite il file index.js, funzione setKey() (righe 69-95). Gli attacchi di inquinamento dei prototipi consentono di aggirare la convalida dell'input e di innescare l'esecuzione di JavaScript inattesi.	Critico (9.8)	Server Couchbase	Server 7.1.0, 7.0.x	Server 7.1.1	Luglio 2022
CVE-2022-33911	I nomi dei campi non vengono eliminati nei messaggi di convalida registrati per Analytics Service. Quando si creano indici secondari con Couchbase Server Analytics Service, ci sono alcune convalide sui campi indicizzati che vengono segnalate all'utente e registrate. Il messaggio di errore con codice ASX0013 viene utilizzato in più percorsi per segnalare e registrare la presenza di un nome di campo duplicato. I nomi dei campi in questi messaggi di convalida registrati non sono stati redatti. Anche gli errori con il codice ASX1079 hanno nomi di campi che non vengono redatti.	Basso (1.8)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 7.0.4, 6.6.6	Giugno 2022
CVE-2022-33173	I collegamenti remoti di Analytics possono passare temporaneamente a una connessione non TLS per determinare la porta TLS. Se non si riesce a stabilire una connessione TLS per un collegamento remoto di Analytics configurato con encryption=full, il runtime cerca di scoprire la porta TLS (non predefinita) tentando una connessione non TLS al cluster remoto, utilizzando SCRAM-SHA per l'autenticazione. Sebbene le credenziali non siano condivise quando SCRAM-SHA, non ci si può aspettare che il sistema declassi il livello di crittografia prescritto per una connessione TLS. Questo meccanismo di ripiego è stato rimosso e, se non si riesce a stabilire inizialmente una connessione TLS, il CONNECT LINK fallirà semplicemente finché non verrà fornita la porta TLS corretta come parte della configurazione del link.	Basso (2.0)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Server 7.0.4, 6.6.6	Giugno 2022
CVE-2022-32565	Il registro del servizio di backup lascia trapelare nomi utente e ID documento non riservati. Se il servizio di backup non riesce a registrare un messaggio di audit, fa trapelare i dati del registro di audit nel file backup_service.log, che non viene redatto.	Basso (1.8)	Server Couchbase	Server 7.0.x	Server 7.1.0	Giugno 2022
CVE-2020-14040	Aggiornare il pacchetto golang.org/x/text alla versione 0.3.4 o successiva. Il pacchetto golang.org/x/text/encoding/unicode potrebbe portare il decodificatore UTF-16 a entrare in un ciclo infinito, causando l'arresto del programma o l'esaurimento della memoria.	Alto (7.5)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Server 7.0.4, 6.6.6	Giugno 2022
CVE-2022-32192	couchbase-cli perde la password master di Secrets Management come argomento della riga di comando. Il couchbase-cli genera un processo erlang di breve durata che ha la password master come argomento del processo, il che significa che se qualcuno ottiene l'elenco dei processi in quel momento avrà la password master. Questo riguarda solo i cluster di Couchbase Server che utilizzano la funzione di gestione dei segreti.	Medio (5.5)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Server 7.0.4, 6.6.6	Giugno 2022
CVE-2022-32562	Le operazioni possono essere eseguite su raccolte che utilizzano autorizzazioni RBAC obsolete. Se un ruolo RBAC contiene un'autorizzazione a livello di collezione (ad esempio, query_select[src:_default:Collection1]) e il nome della collezione viene eliminato e ricreato nel bucket, l'autorizzazione a livello di collezione sarà ancora valida. Ciò consente all'utente con il ruolo di accedere alla raccolta, anche se la sua autorizzazione dovrebbe essere stata rimossa quando la raccolta è stata cancellata.	Alto (8.8)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.0.4	Giugno 2022
CVE-2022-32560	XDCR - manca il controllo dei ruoli quando si modificano le impostazioni interne. Nelle versioni interessate di Couchbase Server, le impostazioni interne di XDCR possono essere modificate senza alcuna autenticazione.	Medio (4.0)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Server 7.0.4	Giugno 2022
CVE-2022-32564	couchbase-cli: server-eshell perde il cookie di Cluster Manager. Nelle versioni interessate di Couchbase Server, il "cookie" di Erlang viene passato tramite un argomento della riga di comando a 'erl' quando si usa il comando 'server-eshell'; questo fa trapelare il "cookie" a tutti coloro che possono leggere gli argomenti del processo 'couchbase-cli'. Il cookie deve rimanere segreto perché può essere usato per eseguire compiti amministrativi nel cluster.	Alto (7.8)	Server Couchbase	Server 7.0.3, 7.0.2, 7.1.0, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x, 1.x	Server 7.0.4, 6.6.6	Giugno 2022
CVE-2021-3737	Python aggiornato alla versione 3.9.12 per risolvere un problema di negazione del servizio. È stata riscontrata una falla in Python. Una risposta HTTP gestita in modo improprio nel codice client HTTP di Python può consentire a un aggressore remoto, che controlla il server HTTP, di far entrare lo script client in un ciclo infinito, consumando tempo di CPU. Questo problema riguarda solo i cluster che utilizzano la funzione di anteprima per gli sviluppatori, Analytics UDFs.	Alto (7.5)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.0.4	Giugno 2022
CVE-2022-32558	Il caricamento del secchio campione può far trapelare le password interne degli utenti durante un guasto. Un errore durante il caricamento di un bucket di campioni (beer-sample, gamesim-sample, travel-sample) può far trapelare la password dell'utente amministratore interno @ns_server nei log (debug.log, error.log, info.log, reports.log). L'account @ns_server può essere usato per eseguire azioni amministrative.	Medio (6.4)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Server 7.0.4, 6.6.6	Giugno 2022
CVE-2022-32193	La chiave privata potrebbe essere registrata durante un arresto anomalo del componente Cluster Manager di Couchbase Server. Durante l'aggiunta di nodi al cluster, un arresto anomalo di Cluster Manager (ns_server) può causare la fuoriuscita della chiave privata nei file di registro. Chi ha accesso ai file di registro può essere in grado di decifrare le connessioni di rete sicure al cluster. Se si utilizza TLS, le credenziali degli utenti e delle applicazioni che accedono al cluster possono essere acquisite.	Medio (6.3)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Server 7.0.4, 6.6.6	Giugno 2022
CVE-2022-32561	Le precedenti mitigazioni per CVE-2018-15728 si sono rivelate insufficienti quando si è scoperto che gli endpoint diagnostici potevano ancora essere accessibili dalla rete. Gli endpoint diagnostici come diag/eval sono limitati e possono essere eseguiti solo dalla rete di loopback. Tuttavia, i controlli messi in atto per risolvere CVE-2018-15728 non verificano correttamente se un'intestazione "X-Forwarded-For" contiene un indirizzo di loopback. Questa intestazione può essere manipolata per aggirare la restrizione del loopback. La vulnerabilità è limitata alle richieste provenienti da reti private e spazi di indirizzi condivisi, secondo RFC6890. Per poter inviare con successo richieste a questi endpoint, un utente deve disporre di pieni privilegi amministrativi, indipendentemente dall'intestazione "X-Forwarded-For" utilizzata. Una soluzione a questo problema consiste nel bloccare le richieste ai nodi di Couchbase Server che contengono intestazioni "X-Forwarded-For" in ambienti in cui non sono richieste. Riconoscimento: Mucahit Karadag / PRODAFT	Alto (8.8)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Server 6.6.5, 7.0.4	Giugno 2022
CVE-2022-32557	Index Service non applica l'autenticazione per i server TCP/TLS. Il servizio Indice esegue diversi processi di rete, Queryport, Dataport e Adminport. Questi processi sono utilizzati per comunicare con altri servizi Couchbase. Questi processi partecipano alla comunicazione tra nodi, ma non comunicano direttamente con le applicazioni SDK. Nelle versioni interessate di Couchbase Server, questi processi di rete non applicano l'autenticazione e quindi elaborano le richieste inviate da utenti non autenticati. Il server Queryport può rispondere a un utente non autenticato con i risultati della scansione dell'indice. Il server Dataport può consentire a un utente non autenticato di modificare i dati indicizzati. Il server Adminport può consentire a un utente non autenticato di eseguire operazioni DDL (come la creazione e la cancellazione di indici). Possibile soluzione: Poiché queste porte sono utilizzate solo per la comunicazione interna di Couchbase Server, qualsiasi connessione/comunicazione con nodi e processi diversi da Couchbase Server può essere disabilitata a livello di rete.	Alto (8.2)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Server 7.0.4	Giugno 2022
CVE-2022-32559	Le richieste http casuali portano alla perdita di metriche. Gli utenti non autenticati possono effettuare una chiamata API REST al gestore del cluster. Ogni richiesta http che non è stata vista prima dal cluster manager porta alla creazione di una nuova metrica. Ogni nuova metrica richiede un po' di memoria e di spazio su disco, il che può creare una perdita di memoria e di spazio su disco. Se vengono utilizzate risorse sufficienti, un nodo di Couchbase Server potrebbe fallire.	Alto (7.5)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.0.4	Giugno 2022
CVE-2022-32563	Le credenziali dell'amministratore non vengono verificate quando si utilizza l'autenticazione del certificato client X.509 da Sync Gateway a Couchbase Server. Quando Sync Gateway è configurato per l'autenticazione con Couchbase Server utilizzando certificati client X.509, le credenziali di amministrazione fornite all'Admin REST API vengono ignorate, con conseguente escalation dei privilegi per gli utenti non autenticati. L'API REST pubblica non è interessata da questo problema. Soluzione: Sostituire l'autenticazione basata su certificati X.509 con l'autenticazione con nome utente e password all'interno della configurazione di bootstrap.	Critico (9.8)	Gateway di sincronizzazione Couchbase	Gateway di sincronizzazione Couchbase: 3.0.0, 3.0.1	3.0.2	Giugno 2022
CVE-2021-33504	L'aggiunta di nodi non affidabili può essere manipolata per carpire il segreto di un cluster. Gli amministratori che aggiungono un nodo non fidato a un cluster potrebbero inavvertitamente rischiare di trasmettere il cookie del cluster che dovrebbe rimanere segreto. Questo problema può essere risolto implementando la crittografia TLS con certificati firmati dall'autorità di certificazione. Quando si usa TLS, è necessario che un certificato attendibile sia presente sul nodo in entrata dalla versione 7.1.0 di Couchbase Server. Riconoscimento: Ofir Hamam, ricercatore di sicurezza presso il Centro di sicurezza avanzata di EY Israel	Alto (7.6)	Server Couchbase	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.1.0	Maggio 2022
CVE-2022-26311	Segreti non redatti nei log raccolti da ambienti Kubernetes. Couchbase Operator 2.2.0 ha introdotto un'ottimizzazione che ha semplificato la raccolta dei log. Quando vengono raccolti i log, lo strumento di supporto "cbopinfo" viene utilizzato per raccogliere le risorse Kubernetes necessarie per ottenere informazioni sullo stato delle risorse previste e sullo stato attuale delle risorse. Prima delle versioni interessate, i dati segreti venivano eliminati, ma questa funzionalità non è stata mantenuta nel nuovo metodo di raccolta. Di conseguenza, i registri avrebbero erroneamente contenuto password, token e chiavi private nell'ambito della raccolta dei registri. Per impostazione predefinita, questo ambito sarà limitato allo spazio dei nomi di Kubernetes in cui risiede il cluster di Couchbase Server sotto ispezione. Fa eccezione il caso in cui sia stato specificato il flag --system, nel qual caso saranno esposti tutti i segreti della piattaforma. I log vengono utilizzati per identificare e risolvere i problemi dei clienti, pertanto sono interessati solo i clienti che hanno fornito i log con le versioni degli strumenti specificate. Couchbase farà in modo che tutti i registri interessati che sono stati forniti vengano redatti.	Alto (7.2)	Operatore nativo del cloud di Couchbase	2.2.0, 2.2.1, 2.2.2	2.2.3	Marzo 2022
CVE-2021-44228	Aggiornamento di Apache Log4J alla versione 2.15.0 Un problema critico nell'utilità Apache Log4J utilizzata da Couchbase Analytics Service richiede un aggiornamento per prevenire una potenziale esecuzione di codice remoto (RCE) e l'estrazione di dati sensibili.	Critico (10)	Server Couchbase	Server 7.0.2, 7.0.1, 7.0.0, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Server 7.0.3, 6.6.4	Dicembre 2021
CVE-2021-43963	Sync Gateway memorizza in modo insicuro le credenziali del bucket di Couchbase Server Le credenziali del bucket utilizzate da Sync Gateway per leggere e scrivere i dati in Couchbase Server venivano memorizzate in modo insicuro nei metadati dei documenti di sincronizzazione scritti nel bucket. Gli utenti con accesso in lettura potevano utilizzare queste credenziali per ottenere l'accesso in scrittura. Il problema non riguarda i cluster in cui Sync Gateway è autenticato con certificati client x.509. Questo problema non riguarda nemmeno i cluster in cui l'accesso al bucket condiviso non è abilitato su Sync Gateway.	Medio (6.5)	Gateway di sincronizzazione Couchbase	Gateway di sincronizzazione 2.8.2, 2.8.1, 2.8.0, 2.7.x	Gateway di sincronizzazione 2.8.3	Ottobre 2021
CVE-2021-37842	I registri non eliminano le credenziali XDCR remoteCluster Le credenziali XDCR del cluster remoto possono trapelare nei log di debug. Il tombstone purging delle chiavi di configurazione è stato aggiunto in Couchbase Server 7.0.0. Questo problema si verifica quando una chiave di configurazione, che viene registrata, ha un time-stamp del tombstone purger collegato.	Alto (7.6)	Server Couchbase	Server 7.0.1, 7.0.0	Server 7.0.2	Ottobre 2021
CVE-2021-42763	Credenziali esposte nel registro degli errori di arresto anomalo da un backtrace Come parte di una raccolta di log cbcollect_info, Couchbase Server raccoglie le informazioni sui processi di tutti i processi in esecuzione nella VM Erlang. Il problema si verifica quando il gestore del cluster inoltra una richiesta HTTP dall'interfaccia utente collegabile (query workbench, ecc.) al servizio specifico. Nel backtrace, l'intestazione Basic Auth inclusa nella richiesta HTTP contiene le credenziali utente "@" del nodo che elabora la richiesta dell'interfaccia utente. Affinché il problema si verifichi, le informazioni sul processo devono essere attivate nel momento esatto in cui una richiesta dell'interfaccia utente collegabile viene gestita dal gestore del cluster.	Alto (8.8)	Server Couchbase	Severo 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Server 6.6.3, 7.0.2	Ottobre 2021
CVE-2021-33503	Aggiornamento di Python urllib3 alla versione 1.26.5 o superiore. È stato rilevato un problema in urllib3 prima della versione 1.26.5, utilizzato dagli strumenti a riga di comando di Couchbase Server. Quando a questi strumenti viene fornito un URL contenente molti caratteri @ nel componente authority, l'espressione regolare authority presenta un backtracking catastrofico, causando un denial of service dello strumento a riga di comando se un URL viene passato come parametro o reindirizzato tramite un redirect HTTP.	Alto (7.5)	Server Couchbase	Server 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Server 6.6.3, 7.0.2	Ottobre 2021
CVE-2020-36242	Aggiornamento del pacchetto Python cryptography alla versione 3.3.2 Nel pacchetto di crittografia precedente alla versione 3.3.2 per Python, utilizzato dagli strumenti a riga di comando di Couchbase Server, alcune sequenze di chiamate di aggiornamento per crittografare simmetricamente valori multi-GB potrebbero causare un overflow di interi e un buffer overflow in tale strumento.	Critico (9.1)	Server Couchbase	Severo 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Server 6.6.3, 7.0.2	Ottobre 2021
CVE-2021-35944	Un pacchetto di rete appositamente creato e inviato da un utente malintenzionato può mandare in crash memcached. Questo può causare l'indisponibilità del servizio dati. Si consiglia di utilizzare un firewall per consentire solo al traffico di rete delle applicazioni di comunicare con il cluster di Couchbase Server.	Alto (8.2)	Server Couchbase	Server 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 6.6.3, 7.0.1	Settembre 2021
CVE-2021-35945	Un pacchetto di rete appositamente creato e inviato da un utente malintenzionato può mandare in crash memcached. Questo può causare l'indisponibilità del servizio dati. Si consiglia di utilizzare un firewall per consentire solo al traffico di rete delle applicazioni di comunicare con il cluster di Couchbase Server.	Alto (8.2)	Server Couchbase	Server 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Server 6.6.3, 7.0.1	Settembre 2021
CVE-2021-35943	Agli utenti gestiti esternamente non viene impedito di utilizzare una password vuota, secondo RFC4513. Se un server LDAP o Active Directory, utilizzato per l'autenticazione esterna, è configurato in modo da consentire binding non autenticati non sicuri, Couchbase Server Cluster Manager consentirà l'autenticazione di un utente esterno con una password vuota. I server LDAP possono essere configurati in modo da rifiutare le richieste di Bind non autenticate con un resultCode di "unwillingToPerform" per evitare che ciò avvenga.	Critico (9.8)	Server Couchbase	Server 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 6.6.3	Agosto 2021
CVE-2021-23840 CVE-2021-3450 CVE-2021-3449	Aggiornare OpenSSL alla versione 1.1.1k Risolti diversi problemi di sicurezza in OpenSSL, uno dei quali potrebbe causare l'arresto anomalo del server TLS in caso di invio di un messaggio ClientHello di rinegoziazione creato male da un client.	Medio/Alto (5.9, 7.4, 7.5)	Server Couchbase	Server 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 6.6.3	Agosto 2021
CVE-2019-10768	Aggiornare AngularJS alla versione 1.8.0 Problema in Angular utilizzato dall'interfaccia utente di Couchbase che può causare una negazione del servizio modificando la funzione merge().	Alto (7.5)	Server Couchbase	Server 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Server 6.6.3	Agosto 2021
CVE-2021-31158	Le espressioni di tabella comuni (CTE) di N1QL gestivano il controllo degli accessi in modo non corretto. Le query N1QL Common Table Expression non rispettavano correttamente i controlli di sicurezza RBAC, consentendo l'accesso in lettura a utenti che non disponevano dell'autorizzazione richiesta.	Medio (6.5)	Server Couchbase	Server 6.6.1, 6.6.0, 6.5.2, 6.5.1, 6.5.0	Server 6.6.2	Febbraio 2020
CVE-2019-14863	FTS UI da aggiornare ad angular 1.6.9 L'interfaccia utente di Full Text Seach utilizza AngularJS 1.4.7, per il quale sono note alcune vulnerabilità di sicurezza di alto livello. Queste librerie AngularJS sono state aggiornate a una versione più recente di Angular che ha risolto queste vulnerabilità.	Alto (7.4)	Server Couchbase	6.0.2, 5.5.5	6.5.0	Gennaio 2020
CVE-2020-9040	Fino a core-io 1.7.11 (e di conseguenza Java SDK 2.7.11), la verifica dell'hostname sulle connessioni TLS/SSL non è abilitata e può costituire un rischio per la sicurezza in alcuni ambienti. Java 6 (JDK 1.6 - la versione di base del vecchio SDK) non supportava la verifica dell'hostname. Una volta che l'SDK è passato a Java 7 (Java 1.7) come versione di base, è stato possibile aggiungere il supporto. Ciò è avvenuto in jvm-core 1.7.11 (che si traduce in java-client 2.7.11). Nelle versioni precedenti non è possibile aggiungerlo manualmente come workaround, perché non sono presenti le strutture per personalizzarlo di conseguenza. Si noti che per non interrompere le applicazioni che si basano sul vecchio comportamento, la verifica dell'hostname è ancora disabilitata per impostazione predefinita, ma può essere abilitata nella configurazione dell'SDK (classe CouchbaseEnvironment).	Alto (7.5)	SDK Java di Couchbase Connettore Couchbase Spark Connettore Kafka di Couchbase (I connettori dipendono da Java SDK o Core-IO)	1.7.10, 1.6.0, 1.5.0, 1.4.0, 1.3.0, 1.2.0, 1.1.0, 1.0.0	2.7.11	Aprile 2019
CVE-2020-9039	Gli endpoint REST del proiettore e dell'indicizzatore non richiedevano l'autenticazione. L'endpoint REST /settings esposto dal processo del proiettore è un endpoint che gli amministratori possono utilizzare per varie attività, come l'aggiornamento della configurazione e la raccolta di profili di prestazioni. L'endpoint non era autenticato ed è stato aggiornato per consentire solo agli utenti autenticati di accedere a queste API amministrative. Riconoscimento: Team di sicurezza Apple	Alto (7.6)	Server Couchbase	5.5.1, 5.5.0, 5.0.1, 5.0.0, 4.6.x, 4.5.x, 4.1.x, 4.0.x	6.5.0 6.0.0 5.5.2 5.1.2	Settembre 2018
CVE-2020-9042	Couchbase Server restituisce una risposta WWW-Authenticate alle richieste non autenticate. L'API REST del server risponde con un'intestazione {{WWW-Authenticate}} alle richieste non autenticate che consente all'utente di autenticarsi tramite una finestra di dialogo utente/password in un browser web. Il problema è che queste credenziali vengono memorizzate nella cache dal browser, il che consente a un hacker di utilizzare CSRF per attaccare un cluster nel caso in cui un amministratore abbia utilizzato il proprio browser per controllare i risultati di una richiesta API REST. Questo comportamento può essere disabilitato utilizzando couchbase-cli (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Questa funzione non è disabilitata per impostazione predefinita, in quanto potrebbe interrompere gli strumenti o gli script esistenti. Riconoscimento: Team di sicurezza Apple	Medio (6.3)	Server Couchbase	6.0.0	6.5.1	Aprile 2020
CVE-2019-11464	Alla porta 8092 manca l'intestazione di protezione X-XSS Alcune aziende richiedono che gli endpoint delle API REST includano intestazioni relative alla sicurezza nelle risposte REST. Intestazioni come X-Frame-Options e X-Content-Type-Options sono generalmente consigliabili, ma alcuni professionisti della sicurezza informatica chiedono che vengano incluse anche X-Permitted-Cross-Domain-Policies e X-XSS-Protection, che sono più generalmente applicabili agli endpoint HTML. Queste intestazioni sono ora incluse nelle risposte dell'API REST di Couchbase Server Views (porta 8092).	Medio (5.4)	Server Couchbase	5.5.0 5.1.2	6.0.2	Marzo 2019
CVE-2019-9039	Prevenire l'iniezione di N1QL in Sync Gateway tramite _all_docs startkey, endkey Un utente malintenzionato con accesso all'API REST pubblica di Sync Gateway è stato in grado di emettere dichiarazioni N1QL aggiuntive ed estrarre dati sensibili o chiamare funzioni N1QL arbitrarie attraverso i parametri "startkey" e "endkey" sull'endpoint "_all_docs". Emettendo query annidate con operazioni ad alta intensità di CPU, potrebbero essere in grado di causare un aumento dell'utilizzo delle risorse e condizioni di negazione del servizio. L'endpoint _all_docs non è necessario per la replica di Couchbase Mobile e l'accesso esterno a questo endpoint REST è stato bloccato per mitigare il problema. Riconoscimento: Denis Werner/HiSolutions AG	Alto (7.6)	Gateway di sincronizzazione Couchbase	2.1.2	2.5.0 2.1.3	Febbraio 2019
CVE-2019-11466	L'endpoint di debug degli eventi deve applicare l'autenticazione. Il servizio di eventing espone un profilo di diagnostica del sistema tramite un endpoint HTTP che non richiede credenziali su una porta destinata esclusivamente al traffico interno. Il problema è stato risolto e ora l'accesso richiede credenziali valide.	Alto (7.1)	Server Couchbase	6.0.0 5.5.0	6.0.1	Dicembre 2018
CVE-2019-11465	Il comando di blocco delle statistiche di Memcached "connections" emette un nome utente non redatto Le informazioni di sistema inviate a Couchbase come parte di una segnalazione di bug includevano i nomi utente di tutti gli utenti attualmente connessi al sistema, anche se il registro era stato redatto per motivi di privacy. Questo problema è stato risolto in modo che i nomi utente siano etichettati correttamente nei registri e vengano eliminati quando i registri vengono redatti.	Medio (6.5)	Server Couchbase	6.0.0, 5.5.3, 5.5.2, 5.5.1, 5.5.0	6.0.1 5.5.4	Gennaio 2019
CVE-2018-15728	L'endpoint /diag/eval non è bloccato su localhost. Couchbase Server ha esposto l'endpoint '/diag/eval' che, per impostazione predefinita, è disponibile su TCP/8091 e/o TCP/18091. Autenticato utenti che hanno Amministrazione completa Il ruolo assegnato poteva inviare codice Erlang arbitrario all'endpoint "diag/eval" dell'API e il codice veniva successivamente eseguito nel sistema operativo sottostante con i privilegi dell'utente utilizzato per avviare Couchbase. Riconoscimento: Team di sicurezza Apple	Alto (8.8)	Server Couchbase	5.5.1, 5.5.0, 5.1.1, 5.0.1, 5.0.0, 4.6.5, 4.5.1, 4.1.2, 4.0.0	6.0.0 5.5.2	Ottobre 2018
CVE-2019-11495	Il cookie Erlang utilizza un seme casuale debole. Il cookie utilizzato per la comunicazione all'interno del nodo non è stato generato in modo sicuro. Couchbase Server utilizza erlang:now() per alimentare il PRNG, il che comporta un piccolo spazio di ricerca per potenziali semi casuali che potrebbero essere utilizzati per forzare il cookie ed eseguire codice contro un sistema remoto. Riconoscimento: Team di sicurezza Apple	Alto (7.9)	Server Couchbase	5.1.1	6.0.0	Settembre 2018
CVE-2019-11467	Il documento JSON con >3k caratteri '\t' manda in crash l'indicizzatore. L'indicizzazione secondaria codifica le voci da indicizzare utilizzando collatejson. Quando le voci dell'indice contenevano alcuni caratteri come \t, , si verificava un overrun del buffer poiché la stringa codificata era molto più grande di quanto previsto, causando l'arresto e il riavvio del servizio di indicizzazione. Questo problema è stato risolto per garantire che il buffer cresca sempre in base alle necessità di qualsiasi input. Riconoscimento: D-Trust GmbH	Medio (5.8)	Server Couchbase	5.5.0, 4.6.3	5.1.2, 5.5.2	Agosto 2018
CVE-2019-11497	XDCR non convalida il certificato di un cluster remoto. Quando un certificato di cluster remoto non valido veniva inserito come parte della creazione del riferimento, XDCR non analizzava e controllava la firma del certificato. Accettava quindi il certificato non valido e tentava di utilizzarlo per stabilire connessioni future al cluster remoto. Questo problema è stato risolto. Ora XDCR controlla accuratamente la validità del certificato e impedisce la creazione di un riferimento al cluster remoto con un certificato non valido.	Alto (7.5)	Server Couchbase	5.0.0	5.5.0	Giugno 2018
CVE-2019-11496	La modifica delle impostazioni del bucket in Couchbase Server consente l'autenticazione senza credenziali. Nelle versioni di Couchbase Server precedenti alla 5.0, il bucket denominato "default" era un bucket speciale che consentiva l'accesso in lettura e scrittura senza autenticazione. Con la versione 5.0, il comportamento di tutti i bucket, compreso quello "default", è stato modificato per consentire l'accesso solo agli utenti autenticati con un'autorizzazione sufficiente. Tuttavia, agli utenti era consentito l'accesso non autenticato e non autorizzato al bucket "default" se le proprietà di questo bucket venivano modificate. Questo problema è stato risolto.	Alto (8.7)	Server Couchbase	5.0.0	5.1.0 5.5.0	Dicembre 2017

CVE-2025-52490

Credential Disclosure Vulnerability in Sync Gateway Log Collection Process
A security vulnerability was identified in Sync Gateway that, in certain situations, resulted in the unintentional disclosure of credentials associated with log collection for support. This affected the set of credentials used to initiate the log collection process. We recommend upgrading to Sync Gateway 3.2.6, which addresses this issue, and rotating any credentials that were used to initiate log collection during the affected period.

Medio
(6.5)

Gateway di sincronizzazione Couchbase

3.2.5,
3.2.4,
3.2.3,
3.2.2,
3.2.1,
3.2.0,
3.1.x,
3.0.x

3.2.6

July 2025

CVE-2025-49015

.NET SDK v3.7.1 e precedenti potevano saltare la verifica del nome dell'host del certificato
In .NET SDK v3.7.1 e precedenti, la verifica dell'hostname per i certificati TLS non veniva applicata correttamente in tutti i casi.

Medio
(4.9)

SDK .NET di Couchbase

3.7.0,
3.6.x,
3.5.x,
3.4.x,
3.3.x,
3.2.x,
3.1.x,
3.0.x

3.7.1

Giugno 2025

CVE-2024-30171
CVE-2024-29857
CVE-2024-30172

Aggiornare Bouncy Castle a 1.79
È stato rilevato un problema nelle API di crittografia Java di Bouncy Castle precedenti alla versione 1.78. È possibile che si verifichi un ciclo infinito del codice di verifica Ed25519 tramite una firma e una chiave pubblica modificate.

Medio
(6.9)

Server Couchbase

Server
7.6.5,
7.6.4,
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.6,
7.2.7

Maggio 2025

CVE-2025-46619

Vulnerabilità di inclusione locale di file identificata in Couchbase Server per Windows

È stato scoperto un problema di sicurezza in Couchbase Server per Windows che potrebbe consentire l'accesso non autorizzato a file sensibili sul sistema. A seconda del livello di privilegi, questa vulnerabilità può consentire l'accesso a file come / etc / passwd o / etc / shadow.

Alto
(8.7)

Server Couchbase

Server
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.6.4,
7.2.7

Aprile 2025

CVE-2024-21235

Aggiornare JDK a 17.0.13

Questa vulnerabilità è difficile da sfruttare, ma consente a un aggressore non autenticato con accesso alla rete tramite più protocolli di compromettere potenzialmente i prodotti interessati. Uno sfruttamento riuscito potrebbe portare ad aggiornamenti, inserimenti o cancellazioni non autorizzati di dati accessibili, nonché all'accesso in lettura non autorizzato a determinati sottoinsiemi di dati.

Medio
(4.8)

Server Couchbase

Server
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.4,
7.2.7

Aprile 2025

CVE-2024-56178

Creazione non autorizzata di un utente con ruoli elevati

Un utente con il ruolo security_admin_local potrebbe creare un nuovo utente in un gruppo che ha il ruolo "admin", concedendo potenzialmente privilegi elevati oltre le autorizzazioni previste.

Medio
(6.9)

Server Couchbase

Server
7.6.3,
7.6.2,
7.6.1,
7.6.0

Server
7.6.4

Dicembre 2024

CVE-2024-21094
CVE-2024-21011
CVE-2024-21068
CVE-2024-21012

Aggiornare JDK a 17.0.11

La vulnerabilità consente ad aggressori non autorizzati con accesso alla rete tramite più protocolli di compromettere Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Gli attacchi riusciti a questa vulnerabilità possono comportare l'accesso non autorizzato all'aggiornamento, all'inserimento o alla cancellazione di alcuni dati accessibili di Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition.

Basso
(3.7)

Server Couchbase

Server
7.6.1,
7.6.0,
7.2.5
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.2,
7.2.6

Agosto 2024

CVE-2016-2183
CVE-2016-6329

Porte di gestione dei cluster vulnerabili alla vulnerabilità SWEET32.

I cifrari DES e Triple DES, utilizzati nei protocolli TLS, SSH e IPSec e in altri protocolli e prodotti, hanno un limite di compleanno di circa quattro miliardi di blocchi, il che rende più facile per gli aggressori remoti ottenere dati in chiaro tramite un attacco di compleanno contro una sessione crittografata di lunga durata, come dimostrato da una sessione HTTPS che utilizza Triple DES in modalità CBC, alias un attacco "Sweet32".

Alto
(8.7)

Server Couchbase

Server
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x
4.x
3.x,
2.x

Server
7.6.0,
7.2.6

Agosto 2024

CVE-2024-25673

Vulnerabilità della manipolazione delle intestazioni.

L'intestazione Host di una richiesta HTTP in entrata è stata copiata alla cieca nell'intestazione Location.

Medio
(4.2)

Server Couchbase

Server
7.6.1,
7.6.0,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.6.2,
7.2.6

Agosto 2024

CVE-2024-37034

Le credenziali vengono negoziate con KV utilizzando SCRAM-SHA quando la crittografia del collegamento remoto è configurata per HALF.

L'SDK negozierà con SCRAM-SHA per impostazione predefinita, il che consente a un MITM di negoziare per ottenere credenziali PLAIN.

Medio
(5.9)

Server Couchbase

Server
7.6.0,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.1,
7.2.5

Luglio 2024

CVE-2024-0519

Aggiornare la v8 alla 12.1.285.26.

L'accesso alla memoria fuori dai limiti in V8 in Google Chrome prima della versione 120.0.6099.224 permetteva a un aggressore remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML modificata.

Alto
(8.8)

Server Couchbase

Server
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.6.2,
7.2.5

Luglio 2024

CVE-2023-50782

Aggiornare pyca-cryptography a 42.0.5.

È stata rilevata una falla nel pacchetto python-cryptography. Questo problema può consentire a un aggressore remoto di decifrare i messaggi catturati nei server TLS che utilizzano scambi di chiavi RSA, il che può portare all'esposizione di dati riservati o sensibili.

Alto
(7.5)

Server Couchbase

Server
7.6.1,
7.6.0

Server
7.6.2,
7.2.5

Luglio 2024

CVE-2023-49338

L'endpoint Query Service stats era accessibile senza autenticazione.

L'endpoint Query stats non implementava l'autenticazione corretta, rendendo possibile la visualizzazione delle informazioni sulle statistiche.

Medio
(5.3)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.4

Gennaio 2024

CVE-2023-45873

L'utente con il ruolo di lettore di dati potrebbe uccidere il servizio dati.

Un utente con il privilegio di lettore di dati potrebbe uccidere il servizio dati inviando GetKeys che richiede un numero elevato di documenti, innescando un errore OOM (Out-of-Memory).

Medio
(6.5)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Server
7.2.4

Gennaio 2024

CVE-2023-45874

I lettori di dati potrebbero eseguire il DOS dei thread di lettura.

Un utente con il ruolo di lettore di dati potrebbe bloccare un thread di lettura del servizio dati per un tempo significativo richiedendo un numero elevato di chiavi e potenzialmente bloccare tutti i thread di lettura emettendo lo stesso comando su più connessioni.

Medio
(4.3)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Server
7.2.4

Gennaio 2024

CVE-2023-43769

Porte del servizio RMI non autenticate esposte nel servizio di analisi.

Le porte di rete 9119 e 9121 erano porte di servizio RMI non autenticate ospitate dal servizio di analisi, che potevano causare l'escalation dei privilegi.

Critico
(9.1)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.2.4

Gennaio 2024

CVE-2023-50437

otpCookie è stato mostrato a un utente con ruolo di amministratore completo sugli endpoint API serverGroups e engageCluster2 di Cluster Manager.

L'otpCookie del cluster è stato divulgato agli utenti con il ruolo Full Admin sull'endpoint API serverGroups e sia Cluster Admin che Full Admin sull'endpoint API engageCluster2. Questo potrebbe essere usato per elevare i privilegi.

Alto
(8.6)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.4

Gennaio 2024

CVE-2023-49931

Le chiamate cURL di SQL++ a / diag / eval non erano sufficientemente limitate.

La chiamata a cURL tramite SQL++ (N1QL) utilizzando il Query Service verso l'endpoint localhost / diag / eval non era completamente impedita.

Alto
(8.6)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Server
7.2.4

Gennaio 2024

CVE-2023-49932

Problema di implementazione delle restrizioni dell'host di SQL++ N1QL cURL.

La protezione cURL allowlist di SQL++ (N1QL) nel Query Service non era sufficiente a impedire l'accesso a host riservati.

Medio
(5.3)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Server
7.2.4

Gennaio 2024

CVE-2023-49930

Le chiamate cURL di SQL++ a diag eval non erano sufficientemente limitate.

La chiamata di cURL tramite SQL++ (N1QL) attraverso il Servizio eventi all'endpoint diag eval dell'host locale non era completamente impedita.

Alto
(8.6)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.5.x

Server
7.2.4

Gennaio 2024

CVE-2023-50436

L'utente interno Full Admin per le credenziali di gestione del cluster è trapelato nel file di registro.

Un evento di registrazione ha causato la fuoriuscita delle credenziali di amministrazione interne di @ns_server in forma codificata in diag.log.

Basso
(2.1)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.6,
7.1.5

Server
7.2.4

Gennaio 2024

CVE-2024-23302

Chiave privata TLS trapelata nel file di registro XDCR.

La chiave privata utilizzata per Cross Datacenter Replication (XDCR) è trapelata nel file goxdcr.log.

Basso
(2.1)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.5.x

Server
7.2.4

Gennaio 2024

CVE-2023-38545

Aggiornare cURL alla versione 8.4.0.

La falla in curl fa andare in overflow un buffer basato su heap nell'handshake del proxy SOCKS5.

Critico
(9.8)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Server
7.2.4

Gennaio 2024

CVE-2023-5678

Aggiornare a OpenSSL 3.1.4.

Le applicazioni che utilizzano le funzioni DH_generate_key() per generare una chiave X9.42 DH e le applicazioni che utilizzano DH_check_pub_key(), DH_check_pub_key_ex() o EVP_PKEY_public_check() per verificare una chiave X9.42 DH o i parametri X9.42 DH possono subire lunghi ritardi. Se la chiave o i parametri da verificare sono stati ottenuti da una fonte non attendibile, ciò può portare a un Denial of Service.

Medio
(5.3)

Server Couchbase

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.4

Gennaio 2024

CVE-2023-44487

Aggiornare gRPC alla versione 1.58.3.

Il protocollo HTTP/2 consente di negare il servizio perché l'annullamento della richiesta può azzerare rapidamente molti flussi.

Alto
(7.5)

Server Couchbase

Server
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.3,
7.1.6

Novembre 2023

CVE-2023-44487

Aggiornare Golang alla versione 1.20.10.

Il protocollo HTTP/2 consente di negare il servizio perché l'annullamento della richiesta può azzerare rapidamente molti flussi.

Alto
(7.5)

Server Couchbase

Server
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.3,
7.1.6

Novembre 2023

CVE-2023-0464

Aggiornare a OpenSSL 1.1.1u.

Una vulnerabilità in OpenSSL relativa alla verifica delle catene di certificati X.509 che includono vincoli di policy, che consentirebbe agli aggressori di sfruttare questa vulnerabilità creando una catena di certificati dannosa che innesca un uso esponenziale delle risorse computazionali, portando a un attacco denial-of-service (DoS) sui sistemi interessati.

Alto
(7.5)

Server Couchbase

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.1,
7.1.5

Novembre 2023

CVE-2022-41723

Aggiornamento di GoLang alla versione 1.19.9.

Un flusso HTTP/2 creato in modo malevolo potrebbe causare un consumo eccessivo di CPU nel decodificatore HPACK, sufficiente a causare una negazione del servizio da un numero ridotto di piccole richieste.

Alto
(7.5)

Server Couchbase

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.1,
7.1.5

Novembre 2023

CVE-2023-3079

CVE-2023-2033

Aggiornare V8 a 11.4.185.1.

La confusione di tipo in V8 di Google Chrome precedente alla versione 114.0.5735.110 consentiva a un utente remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML modificata.

Alto
(8.0)

Server Couchbase

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.1,
7.1.5

Novembre 2023

CVE-2023-21930

CVE-2023-21954

CVE-2023-21967

CVE-2023-21939

CVE-2023-21938

CVE-2023-21937

CVE-2023-21968

Aggiornare OpenJDK alla versione 11.0.19.

Aggiornare OpenJDK alla versione 11.0.19 per risolvere numerosi CVE.

Alto
(7.4)

Server Couchbase

Server
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Server
7.1.5

Novembre 2023

CVE-2023-36667

Problema di sicurezza di Windows traversal.

L'interfaccia utente di Couchbase Server Windows consente a un utente malintenzionato di attraversare il filesystem e di visualizzare i file a cui Couchbase ha accesso. Questa vulnerabilità non richiede alcuna autenticazione. È sfruttabile semplicemente aggiungendo cartelle/file all'URL dell'interfaccia utente di Couchbase Server.

Alto
(7.5)

Server Couchbase

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.1,
7.1.5

Novembre 2023

CVE-2023-43768

Gli utenti non autenticati possono causare l'esaurimento della memoria di memcached.

Un utente malintenzionato può facilmente mandare in crash un server memcached collegandosi al server e iniziando a inviare comandi di grandi dimensioni.

Alto
(7.5)

Server Couchbase

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Server
7.2.1,
7.1.5

Novembre 2023

CVE-2023-45875

Perdita di chiave privata in debug.log durante l'aggiunta di un nodo precedente a 7.0 al cluster 7.2.

La chiave privata viene trasmessa al file debug.log quando si aggiunge un nodo precedente alla versione 7.0 al cluster 7.2.

Medio
(4.4)

Server Couchbase

Server
7.2.0

Server
7.2.1

Novembre 2023

CVE-2022-41881

CVE-2022-41915

Aggiornare Netty alla versione 4.1.86.Final o superiore.

Nelle versioni precedenti alla 4.1.86.Final, può essere sollevato uno StackOverflowError durante l'analisi di un messaggio malformato a causa di una ricorsione infinita.

Basso
(2.2)

Server Couchbase

Server
6.6.6,
7.0.5,
7.1.3

Server
7.2.0,
7.1.4

Maggio 2023

CVE-2023-28470

L'endpoint nsstats di Full Text Search (FTS) è accessibile senza autenticazione.

L'endpoint FTS stats all'indirizzo / api / nsstats non implementa un'autenticazione corretta, pertanto è possibile visualizzare i nomi dei bucket di Couchbase Server, i nomi degli indici FTS e la configurazione degli indici FTS senza autenticazione. I contenuti dei bucket e degli indici non sono esposti.

Medio
(5.3)

Server Couchbase

Server
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Server
7.1.4

Marzo 2023

CVE-2023-25016

Le credenziali possono essere trasmesse ai registri in caso di arresto anomalo durante l'unione di un nodo.

Durante il fallimento di un'unione di nodi, le credenziali non redatte dell'utente che effettua la richiesta REST possono trapelare nei file di log.

Medio
(6.3)

Server Couchbase

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x

Server
7.1.2,
7.0.5,
6.6.6

Gennaio 2023

CVE-2022-42951

Couchbase Cluster Manager non dispone di controlli di accesso durante il riavvio di un nodo del cluster.

Durante l'avvio di un nodo server couchbase c'è un breve periodo di tempo in cui il cookie di sicurezza è impostato su "nocookie", che manca di controlli di accesso al protocollo di distribuzione Erlang. Se un utente malintenzionato si connette a questo protocollo durante questo periodo, può eseguire codice arbitrario da remoto su qualsiasi nodo del cluster in qualsiasi momento, finché la connessione non viene interrotta. Il codice eseguito verrà eseguito con gli stessi privilegi del server Couchbase.

Critico
(9.8)

Server Couchbase

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
7.1.2,
7.0.5,
6.6.6

Gennaio 2023

CVE-2022-42004

CVE-2022-42003

Aggiornamento di Jackson Databind alla versione 2.13.4.2+ utilizzata nel servizio di analisi per risolvere le vulnerabilità.

L'esaurimento delle risorse di Couchbase Analytics Service può verificarsi a causa della mancanza di un controllo che impedisca l'uso di array profondamente annidati.

Alto
(7.5)

Server Couchbase

Server
7.1.2,
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1
6.6.0
6.5.x,
6.0.x,
5.x,
4.x

Server
7.1.3,
7.0.5,
6.6.6

Gennaio 2023

CVE-2022-42950

Una richiesta HTTP di tipo artigianale all'API REST può causare un OOM del servizio di backup.

Un corpo di richiesta HTTP estremamente grande (o non limitato) può causare un errore OOM (out-of-memory) al servizio di backup.

Medio
(4.9)

Server Couchbase

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.1.2,
7.0.5

Gennaio 2023

CVE-2022-1096

Aggiornamento del motore Javascript V8 alla versione 10.7.x.

Il motore Javascript v8 utilizzato in Couchbase Server Eventing Service, View Engine, XDCR e N1QL UDF è stato aggiornato perché nelle versioni precedenti alla 99.0.4844.84 esisteva una confusione di tipo che consentiva a un aggressore remoto di sfruttare potenzialmente la corruzione dell'heap tramite una richiesta artigianale.

Alto
(8.8)

Server Couchbase

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.1.2,
7.0.5

Gennaio 2023

CVE-2021-41561

Aggiornamento di Apache Parquet alla versione 1.12.3.

Un utente malintenzionato può utilizzare i file Parquet, utilizzati facoltativamente da Couchbase Analytics Service, per causare un Denial of Service (DoS) se i file dannosi contengono valori impropri nell'intestazione della pagina del file (ad esempio, valori negativi laddove ci si aspetta un valore positivo). Questo problema viene risolto aggiornando la libreria Apache Parquet a una versione successiva.

Alto
(7.5)

Server Couchbase

Server
7.1.1,
7.1.0

Server
7.1.2

Novembre 2022

CVE-2022-37026

Aggiornamento di Erlang alla versione 24.3.4.4.

Quando si utilizza la funzione tls/ssl nel server couchbase, è possibile aggirare l'autenticazione del client in determinate situazioni. In particolare, qualsiasi applicazione che utilizza il server ssl/tls/dtls e l'opzione di certificazione del client "{verify, verify_peer}" è affetta da questa vulnerabilità. Le correzioni sono state rilasciate sui binari supportati con le patch 23.3.4.15, 24.3.4.2 e 25.0.2 del runtime erlang/OTP. Sono interessati solo i cluster che utilizzano l'autenticazione basata su certificati.

Critico
(9.8)

Server Couchbase

Server
7.1.1,
7.1.0

Server
7.1.2

Novembre 2022

CVE-2022-32556

La chiave privata viene trasmessa ai file di registro con determinati arresti anomali.

Alcuni rari arresti anomali potrebbero causare la fuoriuscita della chiave privata del certificato generato nei file di log.

Medio
(6.3)

Server Couchbase

Server
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x

Server
7.1.1,
7.0.4,
6.6.6

Luglio 2022

CVE-2022-24675

CVE-2022-23772

CVE-2022-24921

Aggiornamento di GoLang a un minimo di 1.17.9 o 1.18.1.

Aggiornato il linguaggio di programmazione Go e le librerie associate utilizzate in diversi servizi di Couchbase Server alle versioni 1.17.9+ o 1.18.1+ per risolvere numerosi CVE.

Alto
(7.5)

Server Couchbase

Server
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5x,
6.0.x,
5.x,
4.x

Server
7.1.1,
7.0.5,
6.6.6

Luglio 2022

CVE-2020-36518

Aggiornamento della libreria jackson-databind alla versione 2.13.2.2.

jackson-databind, prima della versione 2.13.0, consente un'eccezione Java StackOverflow e la negazione del servizio tramite una grande profondità di oggetti annidati. Questa libreria è utilizzata dal servizio di analisi del server Couchbase.

Medio
(6.5)

Server Couchbase

Server
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Server
7.1.1,
7.0.4,
6.6.6

Luglio 2022

CVE-2022-1292

Aggiornamento di openssl a 1.1.1o.

Aggiornato openssl per correggere una falla in un componente di openssl, c_rehash. Questo script esegue una scansione delle directory e prende un valore hash di ogni file .pem e .crt presente nella directory. Quindi crea collegamenti simbolici per ciascuno dei file denominati dal valore hash. Presenta una falla che consente l'iniezione di comandi nello script.

Critico
(9.8)

Server Couchbase

Server
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
7.1.1,
7.0.4,
6.6.6

Luglio 2022

CVE-2022-34826

La passphrase della chiave privata crittografata potrebbe trapelare nei registri.

In Couchbase Server 7.1.0 e successivi è possibile fornire una passphrase a Couchbase Server per sbloccare una chiave privata TLS crittografata. Questa passphrase è trapelata nei file di log come stringa codificata Base64 all'avvio di uno dei servizi Couchbase diversi dal Data Service. Ciò riguarda il Servizio indici, il Servizio query, il Servizio analisi, il Servizio backup e il Servizio eventi se si utilizza la funzione opzionale delle chiavi TLS crittografate. Si noti che un utente malintenzionato deve avere accesso ai registri e alla chiave privata per poter eseguire attacchi come l'attacco man in the middle o la decodifica delle comunicazioni di rete. L'uso di protezioni del sistema operativo per limitare l'accesso a questi file può essere una strategia di mitigazione efficace.

Medio
(4.4)

Server Couchbase

Server
7.1.0

Server
7.1.1

Luglio 2022

CVE-2021-42581

Aggiornamento di ramda, una libreria javascript lato client, alla versione 0.28 utilizzata nell'interfaccia utente di Couchbase Server.

Ramda 0.27.0 e versioni precedenti consentono agli aggressori di compromettere l'integrità o la disponibilità di un'applicazione fornendo un oggetto artigianale (che contiene una proprietà propria "{}proto{}") come argomento della funzione, noto come inquinamento del prototipo. Gli attacchi di tipo Prototype Pollution consentono di aggirare la convalida dell'input e di innescare un'esecuzione inaspettata di JavaScript.

Critico
(9.1)

Server Couchbase

Server
7.1.0,
7.0.x

Server
7.1.1

Luglio 2022

CVE-2021-44906

Aggiornamento di js-beautify alla versione 1.14.3, una libreria javascript lato client utilizzata nell'interfaccia utente di Couchbase Server.

js-beautify ha una dipendenza con una vulnerabilità nota, Minimist. Minimist <=1.2.5 è vulnerabile all'inquinamento dei prototipi tramite il file index.js, funzione setKey() (righe 69-95). Gli attacchi di inquinamento dei prototipi consentono di aggirare la convalida dell'input e di innescare l'esecuzione di JavaScript inattesi.

Critico
(9.8)

Server Couchbase

Server
7.1.0,
7.0.x

Server
7.1.1

Luglio 2022

CVE-2022-33911

I nomi dei campi non vengono eliminati nei messaggi di convalida registrati per Analytics Service.

Quando si creano indici secondari con Couchbase Server Analytics Service, ci sono alcune convalide sui campi indicizzati che vengono segnalate all'utente e registrate. Il messaggio di errore con codice ASX0013 viene utilizzato in più percorsi per segnalare e registrare la presenza di un nome di campo duplicato. I nomi dei campi in questi messaggi di convalida registrati non sono stati redatti. Anche gli errori con il codice ASX1079 hanno nomi di campi che non vengono redatti.

Basso
(1.8)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
7.0.4,
6.6.6

Giugno 2022

CVE-2022-33173

I collegamenti remoti di Analytics possono passare temporaneamente a una connessione non TLS per determinare la porta TLS.

Se non si riesce a stabilire una connessione TLS per un collegamento remoto di Analytics configurato con encryption=full, il runtime cerca di scoprire la porta TLS (non predefinita) tentando una connessione non TLS al cluster remoto, utilizzando SCRAM-SHA per l'autenticazione. Sebbene le credenziali non siano condivise quando SCRAM-SHA, non ci si può aspettare che il sistema declassi il livello di crittografia prescritto per una connessione TLS. Questo meccanismo di ripiego è stato rimosso e, se non si riesce a stabilire inizialmente una connessione TLS, il CONNECT LINK fallirà semplicemente finché non verrà fornita la porta TLS corretta come parte della configurazione del link.

Basso
(2.0)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Server
7.0.4,
6.6.6

Giugno 2022

CVE-2022-32565

Il registro del servizio di backup lascia trapelare nomi utente e ID documento non riservati.

Se il servizio di backup non riesce a registrare un messaggio di audit, fa trapelare i dati del registro di audit nel file backup_service.log, che non viene redatto.

Basso
(1.8)

Server Couchbase

Server
7.0.x

Server
7.1.0

Giugno 2022

CVE-2020-14040

Aggiornare il pacchetto golang.org/x/text alla versione 0.3.4 o successiva.

Il pacchetto golang.org/x/text/encoding/unicode potrebbe portare il decodificatore UTF-16 a entrare in un ciclo infinito, causando l'arresto del programma o l'esaurimento della memoria.

Alto
(7.5)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Server
7.0.4,
6.6.6

Giugno 2022

CVE-2022-32192

couchbase-cli perde la password master di Secrets Management come argomento della riga di comando.

Il couchbase-cli genera un processo erlang di breve durata che ha la password master come argomento del processo, il che significa che se qualcuno ottiene l'elenco dei processi in quel momento avrà la password master. Questo riguarda solo i cluster di Couchbase Server che utilizzano la funzione di gestione dei segreti.

Medio
(5.5)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Server
7.0.4,
6.6.6

Giugno 2022

CVE-2022-32562

Le operazioni possono essere eseguite su raccolte che utilizzano autorizzazioni RBAC obsolete.

Se un ruolo RBAC contiene un'autorizzazione a livello di collezione (ad esempio, query_select[src:_default:Collection1]) e il nome della collezione viene eliminato e ricreato nel bucket, l'autorizzazione a livello di collezione sarà ancora valida. Ciò consente all'utente con il ruolo di accedere alla raccolta, anche se la sua autorizzazione dovrebbe essere stata rimossa quando la raccolta è stata cancellata.

Alto
(8.8)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.0.4

Giugno 2022

CVE-2022-32560

XDCR - manca il controllo dei ruoli quando si modificano le impostazioni interne.

Nelle versioni interessate di Couchbase Server, le impostazioni interne di XDCR possono essere modificate senza alcuna autenticazione.

Medio
(4.0)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Server
7.0.4

Giugno 2022

CVE-2022-32564

couchbase-cli: server-eshell perde il cookie di Cluster Manager.

Nelle versioni interessate di Couchbase Server, il "cookie" di Erlang viene passato tramite un argomento della riga di comando a 'erl' quando si usa il comando 'server-eshell'; questo fa trapelare il "cookie" a tutti coloro che possono leggere gli argomenti del processo 'couchbase-cli'. Il cookie deve rimanere segreto perché può essere usato per eseguire compiti amministrativi nel cluster.

Alto
(7.8)

Server Couchbase

Server
7.0.3,
7.0.2,
7.1.0,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x,
1.x

Server
7.0.4,
6.6.6

Giugno 2022

CVE-2021-3737

Python aggiornato alla versione 3.9.12 per risolvere un problema di negazione del servizio.
È stata riscontrata una falla in Python. Una risposta HTTP gestita in modo improprio nel codice client HTTP di Python può consentire a un aggressore remoto, che controlla il server HTTP, di far entrare lo script client in un ciclo infinito, consumando tempo di CPU. Questo problema riguarda solo i cluster che utilizzano la funzione di anteprima per gli sviluppatori, Analytics UDFs.

Alto
(7.5)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.0.4

Giugno 2022

CVE-2022-32558

Il caricamento del secchio campione può far trapelare le password interne degli utenti durante un guasto.

Un errore durante il caricamento di un bucket di campioni (beer-sample, gamesim-sample, travel-sample) può far trapelare la password dell'utente amministratore interno @ns_server nei log (debug.log, error.log, info.log, reports.log). L'account @ns_server può essere usato per eseguire azioni amministrative.

Medio
(6.4)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Server
7.0.4,
6.6.6

Giugno 2022

CVE-2022-32193

La chiave privata potrebbe essere registrata durante un arresto anomalo del componente Cluster Manager di Couchbase Server.

Durante l'aggiunta di nodi al cluster, un arresto anomalo di Cluster Manager (ns_server) può causare la fuoriuscita della chiave privata nei file di registro. Chi ha accesso ai file di registro può essere in grado di decifrare le connessioni di rete sicure al cluster. Se si utilizza TLS, le credenziali degli utenti e delle applicazioni che accedono al cluster possono essere acquisite.

Medio
(6.3)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Server
7.0.4,
6.6.6

Giugno 2022

CVE-2022-32561

Le precedenti mitigazioni per CVE-2018-15728 si sono rivelate insufficienti quando si è scoperto che gli endpoint diagnostici potevano ancora essere accessibili dalla rete.

Gli endpoint diagnostici come diag/eval sono limitati e possono essere eseguiti solo dalla rete di loopback. Tuttavia, i controlli messi in atto per risolvere CVE-2018-15728 non verificano correttamente se un'intestazione "X-Forwarded-For" contiene un indirizzo di loopback. Questa intestazione può essere manipolata per aggirare la restrizione del loopback.

La vulnerabilità è limitata alle richieste provenienti da reti private e spazi di indirizzi condivisi, secondo RFC6890.

Per poter inviare con successo richieste a questi endpoint, un utente deve disporre di pieni privilegi amministrativi, indipendentemente dall'intestazione "X-Forwarded-For" utilizzata.

Una soluzione a questo problema consiste nel bloccare le richieste ai nodi di Couchbase Server che contengono intestazioni "X-Forwarded-For" in ambienti in cui non sono richieste.

Riconoscimento: Mucahit Karadag / PRODAFT

Alto
(8.8)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Server
6.6.5,
7.0.4

Giugno 2022

CVE-2022-32557

Index Service non applica l'autenticazione per i server TCP/TLS.

Il servizio Indice esegue diversi processi di rete, Queryport, Dataport e Adminport. Questi processi sono utilizzati per comunicare con altri servizi Couchbase. Questi processi partecipano alla comunicazione tra nodi, ma non comunicano direttamente con le applicazioni SDK. Nelle versioni interessate di Couchbase Server, questi processi di rete non applicano l'autenticazione e quindi elaborano le richieste inviate da utenti non autenticati.

Il server Queryport può rispondere a un utente non autenticato con i risultati della scansione dell'indice.

Il server Dataport può consentire a un utente non autenticato di modificare i dati indicizzati.

Il server Adminport può consentire a un utente non autenticato di eseguire operazioni DDL (come la creazione e la cancellazione di indici).

Possibile soluzione: Poiché queste porte sono utilizzate solo per la comunicazione interna di Couchbase Server, qualsiasi connessione/comunicazione con nodi e processi diversi da Couchbase Server può essere disabilitata a livello di rete.

Alto
(8.2)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Server
7.0.4

Giugno 2022

CVE-2022-32559

Le richieste http casuali portano alla perdita di metriche.

Gli utenti non autenticati possono effettuare una chiamata API REST al gestore del cluster. Ogni richiesta http che non è stata vista prima dal cluster manager porta alla creazione di una nuova metrica. Ogni nuova metrica richiede un po' di memoria e di spazio su disco, il che può creare una perdita di memoria e di spazio su disco. Se vengono utilizzate risorse sufficienti, un nodo di Couchbase Server potrebbe fallire.

Alto
(7.5)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.0.4

Giugno 2022

CVE-2022-32563

Le credenziali dell'amministratore non vengono verificate quando si utilizza l'autenticazione del certificato client X.509 da Sync Gateway a Couchbase Server.

Quando Sync Gateway è configurato per l'autenticazione con Couchbase Server utilizzando certificati client X.509, le credenziali di amministrazione fornite all'Admin REST API vengono ignorate, con conseguente escalation dei privilegi per gli utenti non autenticati. L'API REST pubblica non è interessata da questo problema.

Soluzione: Sostituire l'autenticazione basata su certificati X.509 con l'autenticazione con nome utente e password all'interno della configurazione di bootstrap.

Critico
(9.8)

Gateway di sincronizzazione Couchbase

Gateway di sincronizzazione Couchbase:
3.0.0,
3.0.1

3.0.2

Giugno 2022

CVE-2021-33504

L'aggiunta di nodi non affidabili può essere manipolata per carpire il segreto di un cluster.

Gli amministratori che aggiungono un nodo non fidato a un cluster potrebbero inavvertitamente rischiare di trasmettere il cookie del cluster che dovrebbe rimanere segreto.

Questo problema può essere risolto implementando la crittografia TLS con certificati firmati dall'autorità di certificazione. Quando si usa TLS, è necessario che un certificato attendibile sia presente sul nodo in entrata dalla versione 7.1.0 di Couchbase Server.

Riconoscimento: Ofir Hamam, ricercatore di sicurezza presso il Centro di sicurezza avanzata di EY Israel

Alto
(7.6)

Server Couchbase

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.1.0

Maggio 2022

CVE-2022-26311

Segreti non redatti nei log raccolti da ambienti Kubernetes.

Couchbase Operator 2.2.0 ha introdotto un'ottimizzazione che ha semplificato la raccolta dei log. Quando vengono raccolti i log, lo strumento di supporto "cbopinfo" viene utilizzato per raccogliere le risorse Kubernetes necessarie per ottenere informazioni sullo stato delle risorse previste e sullo stato attuale delle risorse. Prima delle versioni interessate, i dati segreti venivano eliminati, ma questa funzionalità non è stata mantenuta nel nuovo metodo di raccolta. Di conseguenza, i registri avrebbero erroneamente contenuto password, token e chiavi private nell'ambito della raccolta dei registri. Per impostazione predefinita, questo ambito sarà limitato allo spazio dei nomi di Kubernetes in cui risiede il cluster di Couchbase Server sotto ispezione. Fa eccezione il caso in cui sia stato specificato il flag --system, nel qual caso saranno esposti tutti i segreti della piattaforma. I log vengono utilizzati per identificare e risolvere i problemi dei clienti, pertanto sono interessati solo i clienti che hanno fornito i log con le versioni degli strumenti specificate. Couchbase farà in modo che tutti i registri interessati che sono stati forniti vengano redatti.

Alto
(7.2)

Operatore nativo del cloud di Couchbase

2.2.0,
2.2.1,
2.2.2

2.2.3

Marzo 2022

CVE-2021-44228

Aggiornamento di Apache Log4J alla versione 2.15.0

Un problema critico nell'utilità Apache Log4J utilizzata da Couchbase Analytics Service richiede un aggiornamento per prevenire una potenziale esecuzione di codice remoto (RCE) e l'estrazione di dati sensibili.

Critico
(10)

Server Couchbase

Server
7.0.2,
7.0.1,
7.0.0,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Server
7.0.3,
6.6.4

Dicembre 2021

CVE-2021-43963

Sync Gateway memorizza in modo insicuro le credenziali del bucket di Couchbase Server

Le credenziali del bucket utilizzate da Sync Gateway per leggere e scrivere i dati in Couchbase Server venivano memorizzate in modo insicuro nei metadati dei documenti di sincronizzazione scritti nel bucket. Gli utenti con accesso in lettura potevano utilizzare queste credenziali per ottenere l'accesso in scrittura. Il problema non riguarda i cluster in cui Sync Gateway è autenticato con certificati client x.509. Questo problema non riguarda nemmeno i cluster in cui l'accesso al bucket condiviso non è abilitato su Sync Gateway.

Medio
(6.5)

Gateway di sincronizzazione Couchbase

Gateway di sincronizzazione
2.8.2,
2.8.1,
2.8.0,
2.7.x

Gateway di sincronizzazione 2.8.3

Ottobre 2021

CVE-2021-37842

I registri non eliminano le credenziali XDCR remoteCluster

Le credenziali XDCR del cluster remoto possono trapelare nei log di debug. Il tombstone purging delle chiavi di configurazione è stato aggiunto in Couchbase Server 7.0.0. Questo problema si verifica quando una chiave di configurazione, che viene registrata, ha un time-stamp del tombstone purger collegato.

Alto
(7.6)

Server Couchbase

Server
7.0.1,
7.0.0

Server
7.0.2

Ottobre 2021

CVE-2021-42763

Credenziali esposte nel registro degli errori di arresto anomalo da un backtrace

Come parte di una raccolta di log cbcollect_info, Couchbase Server raccoglie le informazioni sui processi di tutti i processi in esecuzione nella VM Erlang. Il problema si verifica quando il gestore del cluster inoltra una richiesta HTTP dall'interfaccia utente collegabile (query workbench, ecc.) al servizio specifico. Nel backtrace, l'intestazione Basic Auth inclusa nella richiesta HTTP contiene le credenziali utente "@" del nodo che elabora la richiesta dell'interfaccia utente. Affinché il problema si verifichi, le informazioni sul processo devono essere attivate nel momento esatto in cui una richiesta dell'interfaccia utente collegabile viene gestita dal gestore del cluster.

Alto
(8.8)

Server Couchbase

Severo
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Server
6.6.3,
7.0.2

Ottobre 2021

CVE-2021-33503

Aggiornamento di Python urllib3 alla versione 1.26.5 o superiore.

È stato rilevato un problema in urllib3 prima della versione 1.26.5, utilizzato dagli strumenti a riga di comando di Couchbase Server. Quando a questi strumenti viene fornito un URL contenente molti caratteri @ nel componente authority, l'espressione regolare authority presenta un backtracking catastrofico, causando un denial of service dello strumento a riga di comando se un URL viene passato come parametro o reindirizzato tramite un redirect HTTP.

Alto
(7.5)

Server Couchbase

Server
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Server
6.6.3,
7.0.2

Ottobre 2021

CVE-2020-36242

Aggiornamento del pacchetto Python cryptography alla versione 3.3.2

Nel pacchetto di crittografia precedente alla versione 3.3.2 per Python, utilizzato dagli strumenti a riga di comando di Couchbase Server, alcune sequenze di chiamate di aggiornamento per crittografare simmetricamente valori multi-GB potrebbero causare un overflow di interi e un buffer overflow in tale strumento.

Critico
(9.1)

Server Couchbase

Severo
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Server
6.6.3,
7.0.2

Ottobre 2021

CVE-2021-35944

Un pacchetto di rete appositamente creato e inviato da un utente malintenzionato può mandare in crash memcached.

Questo può causare l'indisponibilità del servizio dati. Si consiglia di utilizzare un firewall per consentire solo al traffico di rete delle applicazioni di comunicare con il cluster di Couchbase Server.

Alto
(8.2)

Server Couchbase

Server
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
6.6.3,
7.0.1

Settembre 2021

CVE-2021-35945

Un pacchetto di rete appositamente creato e inviato da un utente malintenzionato può mandare in crash memcached.

Questo può causare l'indisponibilità del servizio dati. Si consiglia di utilizzare un firewall per consentire solo al traffico di rete delle applicazioni di comunicare con il cluster di Couchbase Server.

Alto
(8.2)

Server Couchbase

Server
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Server
6.6.3,
7.0.1

Settembre 2021

CVE-2021-35943

Agli utenti gestiti esternamente non viene impedito di utilizzare una password vuota, secondo RFC4513.

Se un server LDAP o Active Directory, utilizzato per l'autenticazione esterna, è configurato in modo da consentire binding non autenticati non sicuri, Couchbase Server Cluster Manager consentirà l'autenticazione di un utente esterno con una password vuota.

I server LDAP possono essere configurati in modo da rifiutare le richieste di Bind non autenticate con un resultCode di "unwillingToPerform" per evitare che ciò avvenga.

Critico
(9.8)

Server Couchbase

Server
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server 6.6.3

Agosto 2021

CVE-2021-23840

CVE-2021-3450

CVE-2021-3449

Aggiornare OpenSSL alla versione 1.1.1k

Risolti diversi problemi di sicurezza in OpenSSL, uno dei quali potrebbe causare l'arresto anomalo del server TLS in caso di invio di un messaggio ClientHello di rinegoziazione creato male da un client.

Medio/Alto
(5.9,
7.4,
7.5)

Server Couchbase

Server
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server 6.6.3

Agosto 2021

CVE-2019-10768

Aggiornare AngularJS alla versione 1.8.0

Problema in Angular utilizzato dall'interfaccia utente di Couchbase che può causare una negazione del servizio modificando la funzione merge().

Alto
(7.5)

Server Couchbase

Server
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Server 6.6.3

Agosto 2021

CVE-2021-31158

Le espressioni di tabella comuni (CTE) di N1QL gestivano il controllo degli accessi in modo non corretto.

Le query N1QL Common Table Expression non rispettavano correttamente i controlli di sicurezza RBAC, consentendo l'accesso in lettura a utenti che non disponevano dell'autorizzazione richiesta.

Medio
(6.5)

Server Couchbase

Server
6.6.1,
6.6.0,
6.5.2,
6.5.1,
6.5.0

Server 6.6.2

Febbraio 2020

CVE-2019-14863

FTS UI da aggiornare ad angular 1.6.9

L'interfaccia utente di Full Text Seach utilizza AngularJS 1.4.7, per il quale sono note alcune vulnerabilità di sicurezza di alto livello. Queste librerie AngularJS sono state aggiornate a una versione più recente di Angular che ha risolto queste vulnerabilità.

Alto
(7.4)

Server Couchbase

6.0.2,
5.5.5

6.5.0

Gennaio 2020

CVE-2020-9040

Fino a core-io 1.7.11 (e di conseguenza Java SDK 2.7.11), la verifica dell'hostname sulle connessioni TLS/SSL non è abilitata e può costituire un rischio per la sicurezza in alcuni ambienti.

Java 6 (JDK 1.6 - la versione di base del vecchio SDK) non supportava la verifica dell'hostname. Una volta che l'SDK è passato a Java 7 (Java 1.7) come versione di base, è stato possibile aggiungere il supporto. Ciò è avvenuto in jvm-core 1.7.11 (che si traduce in java-client 2.7.11). Nelle versioni precedenti non è possibile aggiungerlo manualmente come workaround, perché non sono presenti le strutture per personalizzarlo di conseguenza. Si noti che per non interrompere le applicazioni che si basano sul vecchio comportamento, la verifica dell'hostname è ancora disabilitata per impostazione predefinita, ma può essere abilitata nella configurazione dell'SDK (classe CouchbaseEnvironment).

Alto
(7.5)

SDK Java di Couchbase
Connettore Couchbase Spark
Connettore Kafka di Couchbase
(I connettori dipendono da Java SDK o Core-IO)

1.7.10,
1.6.0,
1.5.0,
1.4.0,
1.3.0,
1.2.0,
1.1.0,
1.0.0

2.7.11

Aprile 2019

CVE-2020-9039

Gli endpoint REST del proiettore e dell'indicizzatore non richiedevano l'autenticazione.

L'endpoint REST /settings esposto dal processo del proiettore è un endpoint che gli amministratori possono utilizzare per varie attività, come l'aggiornamento della configurazione e la raccolta di profili di prestazioni. L'endpoint non era autenticato ed è stato aggiornato per consentire solo agli utenti autenticati di accedere a queste API amministrative.

Riconoscimento: Team di sicurezza Apple

Alto
(7.6)

Server Couchbase

5.5.1,
5.5.0,
5.0.1,
5.0.0,
4.6.x,
4.5.x,
4.1.x,
4.0.x

6.5.0
6.0.0
5.5.2
5.1.2

Settembre 2018

CVE-2020-9042

Couchbase Server restituisce una risposta WWW-Authenticate alle richieste non autenticate.

L'API REST del server risponde con un'intestazione {{WWW-Authenticate}} alle richieste non autenticate che consente all'utente di autenticarsi tramite una finestra di dialogo utente/password in un browser web. Il problema è che queste credenziali vengono memorizzate nella cache dal browser, il che consente a un hacker di utilizzare CSRF per attaccare un cluster nel caso in cui un amministratore abbia utilizzato il proprio browser per controllare i risultati di una richiesta API REST. Questo comportamento può essere disabilitato utilizzando couchbase-cli (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Questa funzione non è disabilitata per impostazione predefinita, in quanto potrebbe interrompere gli strumenti o gli script esistenti.

Riconoscimento: Team di sicurezza Apple

Medio
(6.3)

Server Couchbase

6.0.0

6.5.1

Aprile 2020

CVE-2019-11464

Alla porta 8092 manca l'intestazione di protezione X-XSS

Alcune aziende richiedono che gli endpoint delle API REST includano intestazioni relative alla sicurezza nelle risposte REST. Intestazioni come X-Frame-Options e X-Content-Type-Options sono generalmente consigliabili, ma alcuni professionisti della sicurezza informatica chiedono che vengano incluse anche X-Permitted-Cross-Domain-Policies e X-XSS-Protection, che sono più generalmente applicabili agli endpoint HTML. Queste intestazioni sono ora incluse nelle risposte dell'API REST di Couchbase Server Views (porta 8092).

Medio
(5.4)

Server Couchbase

5.5.0
5.1.2

6.0.2

Marzo 2019

CVE-2019-9039

Prevenire l'iniezione di N1QL in Sync Gateway tramite _all_docs startkey, endkey

Un utente malintenzionato con accesso all'API REST pubblica di Sync Gateway è stato in grado di emettere dichiarazioni N1QL aggiuntive ed estrarre dati sensibili o chiamare funzioni N1QL arbitrarie attraverso i parametri "startkey" e "endkey" sull'endpoint "_all_docs". Emettendo query annidate con operazioni ad alta intensità di CPU, potrebbero essere in grado di causare un aumento dell'utilizzo delle risorse e condizioni di negazione del servizio. L'endpoint _all_docs non è necessario per la replica di Couchbase Mobile e l'accesso esterno a questo endpoint REST è stato bloccato per mitigare il problema.

Riconoscimento: Denis Werner/HiSolutions AG

Alto
(7.6)

Gateway di sincronizzazione Couchbase

2.1.2

2.5.0
2.1.3

Febbraio 2019

CVE-2019-11466

L'endpoint di debug degli eventi deve applicare l'autenticazione.

Il servizio di eventing espone un profilo di diagnostica del sistema tramite un endpoint HTTP che non richiede credenziali su una porta destinata esclusivamente al traffico interno. Il problema è stato risolto e ora l'accesso richiede credenziali valide.

Alto
(7.1)

Server Couchbase

6.0.0
5.5.0

6.0.1

Dicembre 2018

CVE-2019-11465

Il comando di blocco delle statistiche di Memcached "connections" emette un nome utente non redatto

Le informazioni di sistema inviate a Couchbase come parte di una segnalazione di bug includevano i nomi utente di tutti gli utenti attualmente connessi al sistema, anche se il registro era stato redatto per motivi di privacy.

Questo problema è stato risolto in modo che i nomi utente siano etichettati correttamente nei registri e vengano eliminati quando i registri vengono redatti.

Medio
(6.5)

Server Couchbase

6.0.0,
5.5.3,
5.5.2,
5.5.1,
5.5.0

6.0.1
5.5.4

Gennaio 2019

CVE-2018-15728

L'endpoint /diag/eval non è bloccato su localhost.

Couchbase Server ha esposto l'endpoint '/diag/eval' che, per impostazione predefinita, è disponibile su TCP/8091 e/o TCP/18091. Autenticato utenti che hanno Amministrazione completa Il ruolo assegnato poteva inviare codice Erlang arbitrario all'endpoint "diag/eval" dell'API e il codice veniva successivamente eseguito nel sistema operativo sottostante con i privilegi dell'utente utilizzato per avviare Couchbase.

Riconoscimento: Team di sicurezza Apple

Alto
(8.8)

Server Couchbase

5.5.1,
5.5.0,
5.1.1,
5.0.1,
5.0.0,
4.6.5,
4.5.1,
4.1.2,
4.0.0

6.0.0
5.5.2

Ottobre 2018

CVE-2019-11495

Il cookie Erlang utilizza un seme casuale debole.

Il cookie utilizzato per la comunicazione all'interno del nodo non è stato generato in modo sicuro. Couchbase Server utilizza erlang:now() per alimentare il PRNG, il che comporta un piccolo spazio di ricerca per potenziali semi casuali che potrebbero essere utilizzati per forzare il cookie ed eseguire codice contro un sistema remoto.

Riconoscimento: Team di sicurezza Apple

Alto
(7.9)

Server Couchbase

5.1.1

6.0.0

Settembre 2018

CVE-2019-11467

Il documento JSON con >3k caratteri '\t' manda in crash l'indicizzatore.

L'indicizzazione secondaria codifica le voci da indicizzare utilizzando collatejson. Quando le voci dell'indice contenevano alcuni caratteri come \t, , si verificava un overrun del buffer poiché la stringa codificata era molto più grande di quanto previsto, causando l'arresto e il riavvio del servizio di indicizzazione. Questo problema è stato risolto per garantire che il buffer cresca sempre in base alle necessità di qualsiasi input.

Riconoscimento: D-Trust GmbH

Medio
(5.8)

Server Couchbase

5.5.0,
4.6.3

5.1.2,
5.5.2

Agosto 2018

CVE-2019-11497

XDCR non convalida il certificato di un cluster remoto.

Quando un certificato di cluster remoto non valido veniva inserito come parte della creazione del riferimento, XDCR non analizzava e controllava la firma del certificato. Accettava quindi il certificato non valido e tentava di utilizzarlo per stabilire connessioni future al cluster remoto. Questo problema è stato risolto. Ora XDCR controlla accuratamente la validità del certificato e impedisce la creazione di un riferimento al cluster remoto con un certificato non valido.

Alto
(7.5)

Server Couchbase

5.0.0

5.5.0

Giugno 2018

CVE-2019-11496

La modifica delle impostazioni del bucket in Couchbase Server consente l'autenticazione senza credenziali.

Nelle versioni di Couchbase Server precedenti alla 5.0, il bucket denominato "default" era un bucket speciale che consentiva l'accesso in lettura e scrittura senza autenticazione. Con la versione 5.0, il comportamento di tutti i bucket, compreso quello "default", è stato modificato per consentire l'accesso solo agli utenti autenticati con un'autorizzazione sufficiente. Tuttavia, agli utenti era consentito l'accesso non autenticato e non autorizzato al bucket "default" se le proprietà di questo bucket venivano modificate. Questo problema è stato risolto.

Alto
(8.7)

Server Couchbase

5.0.0

5.1.0
5.5.0

Dicembre 2017

Piattaforma

Autogestito

Servizi

Capacità

Perché Couchbase?

Migrare a Capella

Per caso d'uso

Per industria

Per necessità di applicazione

Documenti più diffusi

Per ruolo dello sviluppatore

Avvio rapido

Centro risorse

Circa

Partenariati

I nostri servizi

Partner: Registra un affare

Siete pronti a registrare un accordo con Couchbase?

Marriott

Avvisi di Couchbase

Avvisi di sicurezza aziendali

Iniziare a costruire

Utilizzare Capella gratuitamente

Contattate