Couchbase Alerts

CVE	Sinopse	Impacto (CVSS)	Produtos	Afeta a versão	Versão de correção	Data de publicação
CVE-2025-49015	O .NET SDK v3.7.1 e anteriores podiam ignorar a verificação do nome do host do certificado No .NET SDK v3.7.1 e versões anteriores, a verificação do nome do host para certificados TLS não era aplicada corretamente em todos os casos.	Médio (4.9)	SDK do Couchbase .NET	3.7.0, 3.6.x, 3.5.x, 3.4.x, 3.3.x, 3.2.x, 3.1.x, 3.0.x	3.7.1	Junho de 2025
CVE-2024-30171 CVE-2024-29857 CVE-2024-30172	Atualize Bouncy Castle para 1.79 Foi descoberto um problema nas APIs de criptografia Java do Bouncy Castle antes da versão 1.78. Um loop infinito do código de verificação Ed25519 pode ocorrer por meio de uma assinatura e uma chave pública criadas.	Médio (6.9)	Servidor Couchbase	Servidor 7.6.5, 7.6.4, 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.6, 7.2.7	Maio de 2025
CVE-2025-46619	Vulnerabilidade de inclusão de arquivo local identificada no Couchbase Server para Windows Foi descoberto um problema de segurança no Couchbase Server para Windows que pode permitir o acesso não autorizado a arquivos confidenciais no sistema. Dependendo do nível de privilégios, essa vulnerabilidade pode conceder acesso a arquivos como / etc / passwd ou / etc / shadow.	Alta (8.7)	Servidor Couchbase	Servidor 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.6.4, 7.2.7	Abril de 2025
CVE-2024-21235	Atualize o JDK para 17.0.13 Essa vulnerabilidade é difícil de ser explorada, mas permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa os produtos afetados. Uma exploração bem-sucedida pode resultar em atualizações, inserções ou exclusões não autorizadas de dados acessíveis, bem como acesso de leitura não autorizado a determinados subconjuntos de dados.	Médio (4.8)	Servidor Couchbase	Servidor 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.4, 7.2.7	Abril de 2025
CVE-2024-56178	Criação não autorizada de um usuário com funções elevadas Um usuário com a função security_admin_local pode criar um novo usuário em um grupo que tenha a função "admin", possivelmente concedendo privilégios elevados além das permissões pretendidas.	Médio (6.9)	Servidor Couchbase	Servidor 7.6.3, 7.6.2, 7.6.1, 7.6.0	Servidor 7.6.4	Dezembro de 2024
CVE-2024-21094 CVE-2024-21011 CVE-2024-21068 CVE-2024-21012	Atualize o JDK para 17.0.11 A vulnerabilidade permite que invasores não autenticados com acesso à rede por meio de vários protocolos comprometam o Oracle Java SE, o Oracle GraalVM for JDK e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos dessa vulnerabilidade podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Java SE, Oracle GraalVM for JDK e Oracle GraalVM Enterprise Edition.	Baixa (3.7)	Servidor Couchbase	Servidor 7.6.1, 7.6.0, 7.2.5 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.2, 7.2.6	Agosto de 2024
CVE-2016-2183 CVE-2016-6329	Portas de gerenciamento de cluster vulneráveis à vulnerabilidade SWEET32. As cifras DES e Triple DES, usadas nos protocolos TLS, SSH e IPSec e em outros protocolos e produtos, têm um limite de aniversário de aproximadamente quatro bilhões de blocos, o que facilita a obtenção de dados de texto claro por atacantes remotos por meio de um ataque de aniversário contra uma sessão criptografada de longa duração, conforme demonstrado por uma sessão HTTPS usando Triple DES no modo CBC, também conhecido como ataque "Sweet32".	Alta (8.7)	Servidor Couchbase	Servidor 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x 4.x 3.x, 2.x	Servidor 7.6.0, 7.2.6	Agosto de 2024
CVE-2024-25673	Vulnerabilidade de manipulação de cabeçalho. O cabeçalho Host de uma solicitação HTTP de entrada foi copiado às cegas para o cabeçalho Location.	Médio (4.2)	Servidor Couchbase	Servidor 7.6.1, 7.6.0, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.6.2, 7.2.6	Agosto de 2024
CVE-2024-37034	As credenciais são negociadas com o KV usando SCRAM-SHA quando a criptografia de link remoto está configurada para HALF. O SDK negociará com SCRAM-SHA por padrão, o que permite que um MITM negocie credenciais PLAIN.	Médio (5.9)	Servidor Couchbase	Servidor 7.6.0, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.6.1, 7.2.5	Julho de 2024
CVE-2024-0519	Atualize a versão 8 para 12.1.285.26. O acesso à memória fora dos limites no V8 do Google Chrome anterior à versão 120.0.6099.224 permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada.	Alta (8.8)	Servidor Couchbase	Servidor 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.6.2, 7.2.5	Julho de 2024
CVE-2023-50782	Atualize o pyca-cryptography para a versão 42.0.5. Foi encontrada uma falha no pacote python-cryptography. Esse problema pode permitir que um invasor remoto descriptografe mensagens capturadas em servidores TLS que usam trocas de chaves RSA, o que pode levar à exposição de dados confidenciais ou sensíveis.	Alta (7.5)	Servidor Couchbase	Servidor 7.6.1, 7.6.0	Servidor 7.6.2, 7.2.5	Julho de 2024
CVE-2023-49338	O endpoint de estatísticas do Query Service estava acessível sem autenticação. O ponto de extremidade Query stats não implementou a autenticação correta, possibilitando a exibição das informações de estatísticas.	Médio (5.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-45873	O usuário com a função de leitor de dados pode eliminar o serviço de dados por OOM. Um usuário com o privilégio de Data Reader poderia interromper o Data Service enviando GetKeys solicitando um grande número de documentos, acionando um erro OOM (Out-of-Memory).	Médio (6.5)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-45874	Os leitores de dados podiam usar o DOS nos threads de leitura. Um usuário com a função de leitor de dados poderia bloquear um thread de leitor do serviço de dados por um tempo significativo ao solicitar um grande número de chaves e, possivelmente, bloquear todos os threads de leitor ao emitir o mesmo comando em várias conexões.	Médio (4.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-43769	Portas de serviço RMI não autenticadas expostas no serviço Analytics. As portas de rede 9119 e 9121 eram portas de serviço RMI não autenticadas hospedadas pelo Analytics Service, o que poderia resultar em escalonamento de privilégios.	Crítico (9.1)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-50437	O otpCookie foi mostrado a um usuário com função Full Admin nos pontos de extremidade da API serverGroups e engageCluster2 do Cluster Manager. O otpCookie do cluster vazou para os usuários com a função Full Admin no ponto de extremidade da API serverGroups e tanto o Cluster Admin quanto o Full Admin no ponto de extremidade da API engageCluster2. Isso poderia ser usado para elevar os privilégios.	Alta (8.6)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-49931	As chamadas cURL do SQL++ para / diag / eval não eram suficientemente restritas. A chamada de cURL via SQL++ (N1QL) usando o serviço de consulta para o ponto de extremidade localhost / diag / eval não foi totalmente evitada.	Alta (8.6)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-49932	Problema de implementação das restrições de host cURL do SQL++ N1QL. A proteção da lista de permissões cURL do SQL++ (N1QL) no Query Service não foi suficiente para impedir o acesso a hosts restritos.	Médio (5.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-49930	As chamadas de eventos do SQL++ cURL para o diag eval não eram suficientemente restritas. A chamada de cURL via SQL++ (N1QL) por meio do Eventing Service para o ponto de extremidade diag eval do host local não foi totalmente evitada.	Alta (8.6)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.5.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-50436	O usuário interno Full Admin para credenciais de gerenciamento de cluster vazou para o arquivo de registro. Um evento de registro fez com que as credenciais internas de administrador do @ns_server vazassem de forma codificada no diag.log.	Baixa (2.1)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.6, 7.1.5	Servidor 7.2.4	Janeiro de 2024
CVE-2024-23302	Vazamento de chave privada TLS no arquivo de registro XDCR. A chave privada usada para Cross Datacenter Replication (XDCR) vazou no goxdcr.log.	Baixa (2.1)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.5.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-38545	Atualize o cURL para a versão 8.4.0. A falha no curl faz com que ele transborde um buffer baseado em heap no handshake do proxy SOCKS5.	Crítico (9.8)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-5678	Atualize para o OpenSSL 3.1.4. Os aplicativos que usam as funções DH_generate_key() para gerar uma chave X9.42 DH e os aplicativos que usam DH_check_pub_key(), DH_check_pub_key_ex() ou EVP_PKEY_public_check() para verificar uma chave X9.42 DH ou parâmetros X9.42 DH podem sofrer grandes atrasos. Quando a chave ou os parâmetros que estão sendo verificados tiverem sido obtidos de uma fonte não confiável, isso pode levar a uma negação de serviço.	Médio (5.3)	Servidor Couchbase	Servidor 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.4	Janeiro de 2024
CVE-2023-44487	Atualize o gRPC para a versão v1.58.3. O protocolo HTTP/2 permite uma negação de serviço porque o cancelamento da solicitação pode redefinir muitos fluxos rapidamente.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.3, 7.1.6	Novembro de 2023
CVE-2023-44487	Atualize o Golang para a versão 1.20.10. O protocolo HTTP/2 permite uma negação de serviço porque o cancelamento da solicitação pode redefinir muitos fluxos rapidamente.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.3, 7.1.6	Novembro de 2023
CVE-2023-0464	Atualize para o OpenSSL 1.1.1u. Uma vulnerabilidade no OpenSSL relacionada à verificação de cadeias de certificados X.509 que incluem restrições de política, o que permitiria que os invasores explorassem essa vulnerabilidade criando uma cadeia de certificados maliciosa que aciona o uso exponencial de recursos computacionais, levando a um ataque de negação de serviço (DoS) nos sistemas afetados.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.1, 7.1.5	Novembro de 2023
CVE-2022-41723	Atualização do GoLang para a versão 1.19.9. Um fluxo HTTP/2 criado de forma maliciosa pode causar consumo excessivo de CPU no decodificador HPACK, suficiente para causar uma negação de serviço a partir de um pequeno número de pequenas solicitações.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Servidor 7.2.1, 7.1.5	Novembro de 2023
CVE-2023-3079 CVE-2023-2033	Atualize a versão V8 para 11.4.185.1. A confusão de tipos no V8 do Google Chrome anterior à versão 114.0.5735.110 permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada.	Alta (8.0)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.1, 7.1.5	Novembro de 2023
CVE-2023-21930 CVE-2023-21954 CVE-2023-21967 CVE-2023-21939 CVE-2023-21938 CVE-2023-21937 CVE-2023-21968	Atualize o OpenJDK para a versão 11.0.19. Atualize o OpenJDK para a versão 11.0.19 para resolver vários CVEs.	Alta (7.4)	Servidor Couchbase	Servidor 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Servidor 7.1.5	Novembro de 2023
CVE-2023-36667	Problema de segurança de travessia do Windows. A interface de usuário do Windows do Couchbase Server permite que um invasor atravesse o sistema de arquivos e exiba os arquivos aos quais o Couchbase tem acesso. Essa vulnerabilidade não exige nenhuma autenticação. Ela pode ser explorada apenas acrescentando pastas/arquivos ao URL da interface de usuário do administrador do Couchbase Server.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.2.1, 7.1.5	Novembro de 2023
CVE-2023-43768	Usuários não autenticados podem fazer com que o memcached fique sem memória. Um usuário mal-intencionado pode facilmente travar um servidor memcached ao se conectar ao servidor e começar a enviar comandos grandes.	Alta (7.5)	Servidor Couchbase	Servidor 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Servidor 7.2.1, 7.1.5	Novembro de 2023
CVE-2023-45875	Vazamento de chave privada no debug.log ao adicionar um nó pré-7.0 ao cluster 7.2. A chave privada é vazada para o debug.log ao adicionar um nó pré-7.0 ao cluster 7.2.	Médio (4.4)	Servidor Couchbase	Servidor 7.2.0	Servidor 7.2.1	Novembro de 2023
CVE-2022-41881 CVE-2022-41915	Atualize o Netty para a versão 4.1.86.Final ou superior. Em versões anteriores à 4.1.86.Final, um StackOverflowError pode ser gerado ao analisar uma mensagem malformada criada devido a uma recursão infinita.	Baixa (2.2)	Servidor Couchbase	Servidor 6.6.6, 7.0.5, 7.1.3	Servidor 7.2.0, 7.1.4	Maio de 2023
CVE-2023-28470	O ponto de extremidade nsstats do Full Text Search (FTS) pode ser acessado sem autenticação. O ponto de extremidade do FTS stats em / api / nsstats não implementa a autenticação correta, portanto, é possível visualizar os nomes dos buckets do Couchbase Server, os nomes dos índices do FTS e a configuração dos índices do FTS sem autenticação. O conteúdo dos buckets e índices não é exposto.	Médio (5.3)	Servidor Couchbase	Servidor 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Servidor 7.1.4	Março de 2023
CVE-2023-25016	As credenciais podem vazar para os registros se houver uma falha durante a junção de um nó. Durante uma falha de união de nós, as credenciais não editadas do usuário que faz a solicitação REST podem vazar para os arquivos de registro.	Médio (6.3)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.1.2, 7.0.5, 6.6.6	Janeiro de 2023
CVE-2022-42951	O Couchbase Cluster Manager não possui controles de acesso durante a reinicialização de um nó de cluster. Durante a inicialização de um nó de servidor do couchbase, há um curto período de tempo em que o cookie de segurança é definido como "nocookie", o que não oferece controles de acesso ao protocolo de distribuição Erlang. Se um invasor se conectar a esse protocolo durante esse período, ele poderá executar código arbitrário remotamente em qualquer nó do cluster a qualquer momento até que a conexão seja interrompida. O código executado estará sendo executado com os mesmos privilégios que o servidor Couchbase.	Crítico (9.8)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 7.1.2, 7.0.5, 6.6.6	Janeiro de 2023
CVE-2022-42004 CVE-2022-42003	Atualização do Jackson Databind para a versão 2.13.4.2+ usada no Analytics Service para resolver vulnerabilidades. A exaustão de recursos do Couchbase Analytics Service pode ocorrer devido à falta de uma verificação para evitar o uso de arrays profundamente aninhados.	Alta (7.5)	Servidor Couchbase	Servidor 7.1.2, 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1 6.6.0 6.5.x, 6.0.x, 5.x, 4.x	Servidor 7.1.3, 7.0.5, 6.6.6	Janeiro de 2023
CVE-2022-42950	Uma solicitação HTTP criada para a API REST pode causar um OOM do serviço de backup. Um corpo de solicitação HTTP extremamente grande (ou ilimitado) pode fazer com que o serviço de backup cause um erro OOM (out-of-memory).	Médio (4.9)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.1.2, 7.0.5	Janeiro de 2023
CVE-2022-1096	Atualização do mecanismo Javascript V8 para a versão 10.7.x. O mecanismo Javascript v8 usado no Couchbase Server Eventing Service, View Engine, XDCR e N1QL UDFs foi atualizado, pois há uma confusão de tipos nas versões anteriores à 99.0.4844.84 que permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma solicitação criada.	Alta (8.8)	Servidor Couchbase	Servidor 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.1.2, 7.0.5	Janeiro de 2023
CVE-2021-41561	Atualização do Apache Parquet para a versão 1.12.3. Um invasor pode usar arquivos Parquet, como opcionalmente usados pelo Couchbase Analytics Service, para causar uma negação de serviço (DoS) se os arquivos maliciosos contiverem valores impróprios no cabeçalho da página do arquivo (por exemplo, valores negativos onde se espera um valor positivo). Isso é resolvido com a atualização da biblioteca Apache Parquet para uma versão mais recente.	Alta (7.5)	Servidor Couchbase	Servidor 7.1.1, 7.1.0	Servidor 7.1.2	Novembro de 2022
CVE-2022-37026	Atualização do Erlang para a versão 24.3.4.4. Ao usar o recurso tls/ssl no servidor couchbase, é possível ignorar a autenticação do cliente em determinadas situações. Especificamente, qualquer aplicativo que use o servidor ssl/tls/dtls e a opção de certificação do cliente "{verify, verify_peer}" são afetados por essa vulnerabilidade. As correções foram lançadas nas trilhas compatíveis com os patches 23.3.4.15, 24.3.4.2 e 25.0.2 do tempo de execução do erlang/OTP. Somente os clusters que usam autenticação baseada em certificado são afetados.	Crítico (9.8)	Servidor Couchbase	Servidor 7.1.1, 7.1.0	Servidor 7.1.2	Novembro de 2022
CVE-2022-32556	A chave privada é vazada para os arquivos de registro com determinadas falhas. Algumas falhas raras podem fazer com que a chave privada do certificado gerado seja vazada para os arquivos de registro.	Médio (6.3)	Servidor Couchbase	Servidor 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x	Servidor 7.1.1, 7.0.4, 6.6.6	Julho de 2022
CVE-2022-24675 CVE-2022-23772 CVE-2022-24921	Atualização do GoLang para um mínimo de 1.17.9 ou 1.18.1. Atualização da linguagem de programação Go e das bibliotecas associadas usadas em vários serviços do Couchbase Server para as versões 1.17.9+ ou 1.18.1+ para resolver várias CVEs.	Alta (7.5)	Servidor Couchbase	Servidor 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5x, 6.0.x, 5.x, 4.x	Servidor 7.1.1, 7.0.5, 6.6.6	Julho de 2022
CVE-2020-36518	Atualização da biblioteca jackson-databind para a versão 2.13.2.2. jackson-databind, antes da versão 2.13.0, permite uma exceção Java StackOverflow e a negação de serviço por meio de uma grande quantidade de objetos aninhados. Essa biblioteca é usada pelo Couchbase Server Analytics Service	Médio (6.5)	Servidor Couchbase	Servidor 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Servidor 7.1.1, 7.0.4, 6.6.6	Julho de 2022
CVE-2022-1292	Atualização do openssl para 1.1.1o. Atualização do openssl para corrigir uma falha em um componente do openssl, o c_rehash. Esse script examina diretórios e obtém um valor de hash de cada arquivo .pem e .crt no diretório. Em seguida, ele cria links simbólicos para cada um dos arquivos nomeados pelo valor de hash. Ele tem uma falha que permite a injeção de comandos no script.	Crítico (9.8)	Servidor Couchbase	Servidor 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 7.1.1, 7.0.4, 6.6.6	Julho de 2022
CVE-2022-34826	A frase secreta da chave privada criptografada pode ser vazada nos registros. No Couchbase Server 7.1.0 e posteriores, é possível fornecer uma frase secreta ao Couchbase Server para desbloquear uma chave privada TLS criptografada. Descobriu-se que essa frase secreta vazava nos arquivos de registro como uma cadeia de caracteres codificada em Base64 quando um dos serviços do Couchbase, que não o Data Service, era iniciado. Isso afeta o Index Service, o Query Service, o Analytics Service, o Backup Service e o Eventing Service se o recurso opcional de chaves TLS criptografadas for usado. Observe que um invasor precisa ter acesso aos registros e à chave privada para poder realizar ataques, como um ataque man in the middle ou a descriptografia da comunicação de rede. O uso de proteções do sistema operacional para restringir o acesso a esses arquivos pode ser uma estratégia de atenuação eficaz.	Médio (4.4)	Servidor Couchbase	Servidor 7.1.0	Servidor 7.1.1	Julho de 2022
CVE-2021-42581	Atualização da ramda, uma biblioteca javascript do lado do cliente, para a versão 0.28, usada na interface do usuário do Couchbase Server. O Ramda 0.27.0 e versões anteriores permitem que os invasores comprometam a integridade ou a disponibilidade do aplicativo por meio do fornecimento de um objeto criado (que contém uma propriedade própria "{}proto{}") como argumento da função, conhecido como poluição de protótipo. Os ataques do tipo poluição de protótipo permitem contornar a validação de entrada e acionar a execução inesperada de javascript.	Crítico (9.1)	Servidor Couchbase	Servidor 7.1.0, 7.0.x	Servidor 7.1.1	Julho de 2022
CVE-2021-44906	Atualização do js-beautify para a versão 1.14.3, uma biblioteca javascript do lado do cliente usada na interface do usuário do Couchbase Server. O js-beautify tem uma dependência com uma vulnerabilidade conhecida, o Minimist. O Minimist <=1.2.5 é vulnerável à poluição de protótipos por meio do arquivo index.js, função setKey() (linhas 69-95). Os ataques de poluição de protótipos permitem contornar a validação de entrada e acionar a execução inesperada de javascript.	Crítico (9.8)	Servidor Couchbase	Servidor 7.1.0, 7.0.x	Servidor 7.1.1	Julho de 2022
CVE-2022-33911	Os nomes de campo não são redigidos em mensagens de validação registradas para o Analytics Service. Ao criar índices secundários com o Couchbase Server Analytics Service, há algumas validações nos campos indexados que são relatadas ao usuário e registradas. A mensagem de erro com o código ASX0013 é usada em vários caminhos para informar e registrar que há um nome de campo duplicado. Os nomes dos campos nessas mensagens de validação registradas não são redigidos. Além disso, os erros com o código ASX1079 têm nomes de campos que não são redigidos.	Baixa (1.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 7.0.4, 6.6.6	Junho de 2022
CVE-2022-33173	O Analytics Remote Links pode fazer downgrade temporário para uma conexão não TLS para determinar a porta TLS. Em caso de falha no estabelecimento da conexão TLS para um Analytics Remote Link configurado com encryption=full, o tempo de execução tentaria descobrir a porta TLS (não padrão) tentando uma conexão não TLS com o cluster remoto, usando SCRAM-SHA para autenticação. Embora as credenciais não sejam compartilhadas quando o SCRAM-SHA é usado, não se pode esperar que o sistema faça o downgrade do nível de criptografia prescrito que especificou uma conexão TLS. Esse mecanismo de fallback foi removido e, em uma falha no estabelecimento inicial de uma conexão TLS, o CONNECT LINK simplesmente falhará até que a porta TLS correta seja fornecida como parte da configuração do link.	Baixa (2.0)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Servidor 7.0.4, 6.6.6	Junho de 2022
CVE-2022-32565	O registro do serviço de backup vaza nomes de usuário e IDs de documentos não editados. Se o serviço de backup não conseguir registrar uma mensagem de auditoria, ele vaza os dados do registro de auditoria para o backup_service.log, que não é redigido.	Baixa (1.8)	Servidor Couchbase	Servidor 7.0.x	Servidor 7.1.0	Junho de 2022
CVE-2020-14040	Atualize o pacote golang.org/x/text para a versão 0.3.4 ou posterior. O pacote golang.org/x/text/encoding/unicode que pode fazer com que o decodificador UTF-16 entre em um loop infinito, causando o travamento do programa ou a falta de memória.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Servidor 7.0.4, 6.6.6	Junho de 2022
CVE-2022-32192	O couchbase-cli vaza a senha mestra do Secrets Management como um argumento de linha de comando. O couchbase-cli gera um processo erlang de vida muito curta que tem a senha mestra como argumento do processo, o que significa que, se alguém obtiver a lista de processos naquele momento, terá a senha mestra. Isso afeta apenas os clusters do Couchbase Server que utilizam o recurso Gerenciamento de segredos.	Médio (5.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Servidor 7.0.4, 6.6.6	Junho de 2022
CVE-2022-32562	As operações podem ser bem-sucedidas na coleção usando permissão RBAC obsoleta. Se uma função RBAC contiver uma permissão em nível de coleção (por exemplo, query_select[src:_default:Collection1]) e o nome da coleção for excluído e recriado no bucket, a permissão em nível de coleção ainda será válida. Isso permite que o usuário com a função acesse a coleção, embora sua permissão devesse ter sido removida quando a coleção foi excluída.	Alta (8.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.0.4	Junho de 2022
CVE-2022-32560	XDCR - não há verificação de função ao alterar as configurações internas. Nas versões afetadas do Couchbase Server, as configurações internas do XDCR podem ser modificadas sem qualquer autenticação.	Médio (4.0)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Servidor 7.0.4	Junho de 2022
CVE-2022-32564	couchbase-cli: o server-eshell vaza o cookie do Cluster Manager. Nas versões afetadas do Couchbase Server, o "cookie" do Erlang é passado por meio de um argumento de linha de comando para o 'erl' ao usar o comando 'server-eshell'; isso divulgou o "cookie" para todos que pudessem ler os argumentos do processo 'couchbase-cli'. O cookie deve permanecer secreto, pois pode ser usado para executar tarefas administrativas no cluster.	Alta (7.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.1.0, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x, 1.x	Servidor 7.0.4, 6.6.6	Junho de 2022
CVE-2021-3737	Python atualizado para a versão 3.9.12 para resolver um problema de negação de serviço. Foi encontrada uma falha no Python. Uma resposta HTTP tratada incorretamente no código do cliente HTTP do Python pode permitir que um invasor remoto, que controla o servidor HTTP, faça o script do cliente entrar em um loop infinito, consumindo tempo da CPU. Esse problema afeta apenas os clusters que usam o recurso de visualização do desenvolvedor, Analytics UDFs.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.0.4	Junho de 2022
CVE-2022-32558	O carregamento do balde de amostra pode vazar senhas de usuários internos durante uma falha. Uma falha durante o carregamento de um bucket de amostras (beer-sample, gamesim-sample, travel-sample) pode vazar a senha do usuário administrador interno @ns_server nos registros (debug.log, error.log, info.log, reports.log). A conta @ns_server pode ser usada para executar ações administrativas.	Médio (6.4)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Servidor 7.0.4, 6.6.6	Junho de 2022
CVE-2022-32193	A chave privada pode ser registrada durante uma falha do componente Cluster Manager do Couchbase Server. Ao realizar adições de nós de cluster, uma falha do Cluster Manager (ns_server) pode fazer com que a chave privada vaze para os arquivos de registro. Alguém que tenha acesso aos arquivos de registro pode ser capaz de descriptografar conexões de rede seguras com o cluster. Se o TLS for usado, as credenciais de usuários e aplicativos que fazem login no cluster poderão ser adquiridas.	Médio (6.3)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Servidor 7.0.4, 6.6.6	Junho de 2022
CVE-2022-32561	As atenuações anteriores para o CVE-2018-15728 foram consideradas insuficientes quando se descobriu que os endpoints de diagnóstico ainda podiam ser acessados pela rede. Os pontos de extremidade de diagnóstico, como diag/eval, são restritos e só podem ser executados a partir da rede de loopback. No entanto, as verificações implementadas para resolver o CVE-2018-15728 não verificam corretamente se um cabeçalho "X-Forwarded-For" contém um endereço de loopback. Esse cabeçalho pode ser manipulado para contornar a restrição de loopback. A vulnerabilidade é limitada a solicitações originadas de redes privadas e espaços de endereços compartilhados, de acordo com a RFC6890. Para poder emitir solicitações com êxito a esses endpoints, um usuário precisa de privilégios administrativos completos, independentemente do cabeçalho "X-Forwarded-For" usado. Uma solução alternativa para esse problema é bloquear as solicitações para os nós do Couchbase Server que contêm cabeçalhos "X-Forwarded-For" em ambientes em que eles não são necessários. Reconhecimento: Mucahit Karadag / PRODAFT	Alta (8.8)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Servidor 6.6.5, 7.0.4	Junho de 2022
CVE-2022-32557	O Index Service não impõe autenticação para servidores TCP/TLS. O Serviço de índice executa vários processos de rede, Queryport, Dataport e Adminport. Eles são usados para se comunicar com outros serviços do Couchbase. Esses processos participam da comunicação nó a nó, mas não se comunicam diretamente com os aplicativos SDK. Nas versões afetadas do Couchbase Server, esses processos de rede não impõem autenticação e, portanto, processam solicitações enviadas por usuários não autenticados. O servidor Queryport pode responder a um usuário não autenticado com resultados de varredura de índice. O servidor Dataport pode permitir que usuários não autenticados modifiquem dados indexados. O servidor Adminport pode permitir que usuários não autenticados realizem operações DDL (como criar e soltar índices). Possível solução alternativa: Como essas portas são usadas somente para comunicação interna pelo Couchbase Server, qualquer conexão/comunicação com nós e processos que não sejam do Couchbase Server pode ser desativada na camada de rede.	Alta (8.2)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Servidor 7.0.4	Junho de 2022
CVE-2022-32559	Solicitações http aleatórias levam ao vazamento de métricas. Usuários não autenticados podem fazer uma chamada de API REST para o gerenciador de cluster. Cada solicitação http que não tenha sido vista antes pelo gerenciador de cluster leva à criação de uma nova métrica. Cada nova métrica ocupa alguma memória e algum espaço em disco, o que pode criar um vazamento de memória e de espaço em disco. Se forem usados recursos suficientes, isso poderá causar falha em um nó do Couchbase Server.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0	Servidor 7.0.4	Junho de 2022
CVE-2022-32563	As credenciais de administrador não são verificadas ao usar a autenticação de certificado de cliente X.509 do Sync Gateway para o Couchbase Server. Quando o Sync Gateway é configurado para autenticar com o Couchbase Server usando certificados de cliente X.509, as credenciais de administrador fornecidas à API REST de administração são ignoradas, resultando em escalonamento de privilégios para usuários não autenticados. A API REST pública não é afetada por esse problema. Solução alternativa: Substitua a autenticação baseada em certificado X.509 pela autenticação de nome de usuário e senha dentro da configuração de bootstrap.	Crítico (9.8)	Gateway de sincronização do Couchbase	Gateway de sincronização do Couchbase: 3.0.0, 3.0.1	3.0.2	Junho de 2022
CVE-2021-33504	A adição de nós não confiáveis pode ser manipulada para obter o segredo de um cluster. Os administradores que adicionam um nó não confiável a um cluster podem, inadvertidamente, correr o risco de transmitir o cookie do cluster, que deve permanecer secreto. Isso pode ser resolvido com a implantação da criptografia TLS com certificados assinados pela Autoridade de Certificação. Ao usar o TLS, é necessário que um certificado confiável esteja presente no nó de entrada da versão 7.1.0 do Couchbase Server. Reconhecimento: Ofir Hamam, pesquisador de segurança do Centro de Segurança Avançada da EY Israel	Alta (7.6)	Servidor Couchbase	Servidor 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Servidor 7.1.0	Maio de 2022
CVE-2022-26311	Segredos não redigidos em registros coletados de ambientes Kubernetes. O Couchbase Operator 2.2.0 introduziu uma otimização que simplificou a coleta de registros. Quando os registros são coletados, a ferramenta de suporte - "cbopinfo" - é usada para coletar os recursos do Kubernetes necessários para obter informações sobre o estado pretendido do recurso e o status atual do recurso. Antes das versões afetadas, os dados secretos eram redigidos, mas essa funcionalidade não foi mantida no novo método de coleta. Como resultado, os registros conteriam erroneamente senhas, tokens e chaves privadas dentro do escopo da coleta de registros. Por padrão, esse escopo será limitado ao namespace do Kubernetes no qual reside o cluster do Couchbase Server sob inspeção. A exceção a isso é se o sinalizador --system tiver sido especificado, caso em que todos os segredos na plataforma terão sido expostos. Os logs são usados para identificar e corrigir problemas dos clientes e, portanto, somente os clientes que forneceram logs, com as versões de ferramentas especificadas, são afetados. O Couchbase garantirá que todos os logs afetados que foram fornecidos sejam redigidos.	Alta (7.2)	Operador nativo da nuvem do Couchbase	2.2.0, 2.2.1, 2.2.2	2.2.3	Março de 2022
CVE-2021-44228	Atualização do Apache Log4J para a versão 2.15.0 Um problema crítico no utilitário Apache Log4J, usado pelo Couchbase Analytics Service, precisa ser atualizado para evitar a possível execução remota de código (RCE) e a extração de dados confidenciais.	Crítico (10)	Servidor Couchbase	Servidor 7.0.2, 7.0.1, 7.0.0, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Servidor 7.0.3, 6.6.4	Dezembro de 2021
CVE-2021-43963	O Sync Gateway armazena de forma insegura as credenciais do bucket do Couchbase Server As credenciais do bucket usadas pelo Sync Gateway para ler e gravar dados no Couchbase Server estavam sendo armazenadas de forma insegura nos metadados dos documentos de sincronização gravados no bucket. Os usuários com acesso de leitura podiam usar essas credenciais para obter acesso de gravação. Esse problema não afeta os clusters em que o Sync Gateway é autenticado com certificados de cliente x.509. Esse problema também não afeta os clusters em que o acesso ao bucket compartilhado não está ativado no Sync Gateway.	Médio (6.5)	Gateway de sincronização do Couchbase	Gateway de sincronização 2.8.2, 2.8.1, 2.8.0, 2.7.x	Sync Gateway 2.8.3	Outubro de 2021
CVE-2021-37842	Os registros não redigem as credenciais do XDCR remoteCluster As credenciais XDCR do cluster remoto podem vazar nos registros de depuração. A purga de tombstone da chave de configuração foi adicionada ao Couchbase Server 7.0.0. Esse problema ocorre quando uma chave de configuração, que está sendo registrada, tem um carimbo de tempo de purga de tombstone anexado a ela.	Alta (7.6)	Servidor Couchbase	Servidor 7.0.1, 7.0.0	Servidor 7.0.2	Outubro de 2021
CVE-2021-42763	Credenciais expostas no registro de erros de falhas a partir de um backtrace Como parte de uma coleta de registro cbcollect_info, o Couchbase Server coleta as informações do processo de todos os processos em execução na VM Erlang. O problema ocorre quando o gerenciador de cluster encaminha uma solicitação HTTP da UI conectável (query workbench, etc.) para o serviço específico. No backtrace, o cabeçalho de autenticação básica incluído na solicitação HTTP tem as credenciais de usuário "@" do nó que processa a solicitação da interface do usuário. Para que o problema ocorra, as informações do processo devem ser acionadas no momento exato em que uma solicitação de UI conectável estiver sendo atendida pelo gerenciador de cluster.	Alta (8.8)	Servidor Couchbase	Severo 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Servidor 6.6.3, 7.0.2	Outubro de 2021
CVE-2021-33503	Atualização do Python urllib3 para 1.26.5 ou superior Foi descoberto um problema no urllib3 antes da versão 1.26.5, usado pelas ferramentas de linha de comando do Couchbase Server. Quando essas ferramentas recebem um URL contendo muitos caracteres @ no componente de autoridade, a expressão regular de autoridade apresenta um retrocesso catastrófico, causando uma negação de serviço da ferramenta de linha de comando se um URL for passado como parâmetro ou redirecionado por meio de um redirecionamento HTTP.	Alta (7.5)	Servidor Couchbase	Servidor 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Servidor 6.6.3, 7.0.2	Outubro de 2021
CVE-2020-36242	Atualização do pacote de criptografia Python para a versão 3.3.2 No pacote de criptografia anterior à versão 3.3.2 para Python, usado pelas ferramentas de linha de comando do Couchbase Server, determinadas sequências de chamadas de atualização para criptografar simetricamente valores de vários GB podem resultar em um estouro de inteiro e estouro de buffer nessa ferramenta.	Crítico (9.1)	Servidor Couchbase	Severo 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Servidor 6.6.3, 7.0.2	Outubro de 2021
CVE-2021-35944	Um pacote de rede especialmente criado e enviado por um invasor pode travar o memcached Isso pode causar a indisponibilidade do Serviço de Dados. Recomenda-se usar um firewall para permitir que apenas o tráfego de rede de seus aplicativos se comunique com o cluster do Couchbase Server.	Alta (8.2)	Servidor Couchbase	Servidor 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 6.6.3, 7.0.1	Setembro de 2021
CVE-2021-35945	Um pacote de rede especialmente criado e enviado por um invasor pode travar o memcached Isso pode causar a indisponibilidade do Serviço de Dados. Recomenda-se usar um firewall para permitir que apenas o tráfego de rede de seus aplicativos se comunique com o cluster do Couchbase Server.	Alta (8.2)	Servidor Couchbase	Servidor 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Servidor 6.6.3, 7.0.1	Setembro de 2021
CVE-2021-35943	Os usuários gerenciados externamente não são impedidos de usar uma senha vazia, de acordo com a RFC4513 Se um servidor LDAP ou Active Directory, usado para autenticação externa, estiver configurado para permitir associações não autenticadas inseguras, o Couchbase Server Cluster Manager permitirá que um usuário externo seja autenticado com uma senha vazia. Os servidores LDAP podem ser configurados para falhar em solicitações de Unauthenticated Bind com um resultCode de "unwillingToPerform" para evitar que isso ocorra.	Crítico (9.8)	Servidor Couchbase	Servidor 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 6.6.3	Agosto de 2021
CVE-2021-23840 CVE-2021-3450 CVE-2021-3449	Atualize o OpenSSL para a versão 1.1.1k Vários problemas de segurança resolvidos no OpenSSL, um dos quais poderia causar o travamento do servidor TLS se fosse enviada uma mensagem ClientHello de renegociação maliciosamente criada por um cliente.	Médio / Alto (5.9, 7.4, 7.5)	Servidor Couchbase	Servidor 6.6.2, 6.6.1, 6.6.0, 6.5.x	Servidor 6.6.3	Agosto de 2021
CVE-2019-10768	Atualizar AngularJS para 1.8.0 Problema no Angular usado pela interface do usuário do Couchbase que pode causar uma negação de serviço ao modificar a função merge().	Alta (7.5)	Servidor Couchbase	Servidor 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Servidor 6.6.3	Agosto de 2021
CVE-2021-31158	As expressões de tabela comuns (CTEs) do N1QL lidavam incorretamente com o controle de acesso. As consultas Common Table Expression N1QL não respeitavam corretamente os controles de segurança RBAC, dando acesso de leitura a usuários que não tinham a autorização necessária.	Médio (6.5)	Servidor Couchbase	Servidor 6.6.1, 6.6.0, 6.5.2, 6.5.1, 6.5.0	Servidor 6.6.2	Fevereiro de 2020
CVE-2019-14863	IU do FTS para atualizar para o angular 1.6.9 A interface de usuário do Full Text Seach usa o AngularJS 1.4.7, para o qual existem algumas vulnerabilidades de segurança conhecidas de alta gravidade. Essas bibliotecas do AngularJS foram atualizadas para uma versão mais recente do Angular, que solucionou essas vulnerabilidades.	Alta (7.4)	Servidor Couchbase	6.0.2, 5.5.5	6.5.0	Janeiro de 2020
CVE-2020-9040	Até o core-io 1.7.11 (e, como resultado, o Java SDK 2.7.11), a verificação do nome do host em conexões TLS/SSL não está ativada e pode ser um risco de segurança em determinados ambientes O Java 6 (JDK 1.6 - a versão de linha de base do SDK mais antiga) não oferecia suporte à verificação de nome de host imediatamente. Quando o SDK mudou para o Java 7 (Java 1.7) como linha de base, foi possível adicionar suporte. Isso aconteceu no jvm-core 1.7.11 (que se traduz em java-client 2.7.11). Em versões anteriores, não é possível adicioná-lo manualmente como uma solução alternativa, pois os recursos para personalizá-lo adequadamente não estão expostos. Observe que, para não interromper os aplicativos que dependem do comportamento antigo, a verificação do nome do host ainda está desativada por padrão, mas pode ser ativada na configuração do SDK (classe CouchbaseEnvironment).	Alta (7.5)	SDK Java do Couchbase Conector do Couchbase Spark Conector Kafka do Couchbase (Os conectores dependem do Java SDK ou do Core-IO)	1.7.10, 1.6.0, 1.5.0, 1.4.0, 1.3.0, 1.2.0, 1.1.0, 1.0.0	2.7.11	Abril de 2019
CVE-2020-9039	Os endpoints REST do projetor e do indexador não exigiam autenticação O ponto de extremidade REST /settings exposto pelo processo do projetor é um ponto de extremidade que os administradores podem usar para várias tarefas, como atualizar a configuração e coletar perfis de desempenho. O ponto de extremidade não era autenticado e foi atualizado para permitir que apenas usuários autenticados acessem essas APIs administrativas. Reconhecimento: Equipe de segurança da Apple	Alta (7.6)	Servidor Couchbase	5.5.1, 5.5.0, 5.0.1, 5.0.0, 4.6.x, 4.5.x, 4.1.x, 4.0.x	6.5.0 6.0.0 5.5.2 5.1.2	Setembro de 2018
CVE-2020-9042	O Couchbase Server retorna uma resposta WWW-Authenticate para solicitações não autenticadas A API REST do servidor responde com um cabeçalho {{WWWW-Authenticate}} a solicitações não autenticadas, o que permite que o usuário se autentique por meio de uma caixa de diálogo de usuário/senha em um navegador da Web. O problema é que essas credenciais são armazenadas em cache pelo navegador, o que permite que um hacker use CSRF para atacar um cluster caso um administrador tenha usado o navegador para verificar os resultados de uma solicitação da API REST. Esse comportamento pode ser desativado usando o couchbase-cli (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Esse recurso não é desativado por padrão, pois pode danificar as ferramentas ou os scripts existentes. Reconhecimento: Equipe de segurança da Apple	Médio (6.3)	Servidor Couchbase	6.0.0	6.5.1	Abril de 2020
CVE-2019-11464	A porta 8092 não tem o cabeçalho de proteção X-XSS Algumas empresas exigem que os pontos de extremidade da API REST incluam cabeçalhos relacionados à segurança nas respostas REST. Cabeçalhos como X-Frame-Options e X-Content-Type-Options são geralmente recomendados; no entanto, alguns profissionais de segurança da informação também exigem a inclusão de X-Permitted-Cross-Domain-Policies e X-XSS-Protection, que são aplicáveis de forma mais geral ao endpoint HTML. Esses cabeçalhos agora estão incluídos nas respostas da API REST do Couchbase Server Views (porta 8092).	Médio (5.4)	Servidor Couchbase	5.5.0 5.1.2	6.0.2	Março de 2019
CVE-2019-9039	Impedir a injeção de N1QL no Sync Gateway por meio de _all_docs startkey, endkey Um invasor com acesso à API REST pública do Sync Gateway conseguiu emitir instruções N1QL adicionais e extrair dados confidenciais ou chamar funções N1QL arbitrárias por meio dos parâmetros "startkey" e "endkey" no endpoint "_all_docs". Ao emitir consultas aninhadas com operações que exigem muito da CPU, eles podem ter sido capazes de aumentar o uso de recursos e as condições de negação de serviço. O ponto de extremidade _all_docs não é necessário para a replicação do Couchbase Mobile, e o acesso externo a esse ponto de extremidade REST foi bloqueado para atenuar esse problema. Reconhecimento: Denis Werner/HiSolutions AG	Alta (7.6)	Gateway de sincronização do Couchbase	2.1.2	2.5.0 2.1.3	Fevereiro de 2019
CVE-2019-11466	O endpoint de depuração de eventos deve impor a autenticação. O serviço de eventos expõe um perfil de diagnóstico do sistema por meio de um ponto de extremidade HTTP que não exige credenciais em uma porta destinada apenas ao tráfego interno. Isso foi corrigido e agora requer credenciais válidas para acesso.	Alta (7.1)	Servidor Couchbase	6.0.0 5.5.0	6.0.1	Dezembro de 2018
CVE-2019-11465	O comando stat block "connections" do Memcached emite um nome de usuário não redigido As informações do sistema enviadas ao Couchbase como parte de um relatório de bug incluíam os nomes de usuário de todos os usuários atualmente conectados ao sistema, mesmo que o registro fosse redigido para fins de privacidade. Isso foi corrigido para que os nomes de usuário sejam marcados corretamente nos registros e sejam eliminados quando os registros forem redigidos.	Médio (6.5)	Servidor Couchbase	6.0.0, 5.5.3, 5.5.2, 5.5.1, 5.5.0	6.0.1 5.5.4	Janeiro de 2019
CVE-2018-15728	O ponto de extremidade /diag/eval não está bloqueado para o localhost. O Couchbase Server expôs o ponto de extremidade "/diag/eval", que, por padrão, está disponível em TCP/8091 e/ou TCP/18091. Autenticado usuários que tenham 'Full Admin' A função atribuída poderia enviar código Erlang arbitrário para o ponto de extremidade 'diag/eval' da API e o código seria posteriormente executado no sistema operacional subjacente com privilégios do usuário que foi usado para iniciar o Couchbase. Reconhecimento: Equipe de segurança da Apple	Alta (8.8)	Servidor Couchbase	5.5.1, 5.5.0, 5.1.1, 5.0.1, 5.0.0, 4.6.5, 4.5.1, 4.1.2, 4.0.0	6.0.0 5.5.2	Outubro de 2018
CVE-2019-11495	O cookie Erlang usa uma semente aleatória fraca. O cookie usado para comunicação intra-nó não foi gerado com segurança. O Couchbase Server usa erlang:now() para semear o PRNG, o que resulta em um pequeno espaço de pesquisa para possíveis sementes aleatórias que poderiam ser usadas para forçar o cookie e executar código em um sistema remoto. Reconhecimento: Equipe de segurança da Apple	Alta (7.9)	Servidor Couchbase	5.1.1	6.0.0	Setembro de 2018
CVE-2019-11467	O documento JSON com >3k caracteres '\t' trava o indexador. A indexação secundária codifica as entradas a serem indexadas usando collatejson. Quando as entradas de índice continham determinados caracteres, como \t, , isso causava uma sobrecarga do buffer, pois a string codificada seria muito maior do que a contabilizada, fazendo com que o serviço do indexador travasse e reiniciasse. Isso foi corrigido agora para garantir que o buffer sempre cresça conforme necessário para qualquer entrada. Reconhecimento: D-Trust GmbH	Médio (5.8)	Servidor Couchbase	5.5.0, 4.6.3	5.1.2, 5.5.2	Agosto de 2018
CVE-2019-11497	O XDCR não valida um certificado de cluster remoto. Quando um certificado de cluster remoto inválido era inserido como parte da criação da referência, o XDCR não analisava e verificava a assinatura do certificado. Ele então aceitava o certificado inválido e tentava usá-lo para estabelecer conexões futuras com o cluster remoto. Isso foi corrigido. Agora, o XDCR verifica minuciosamente a validade do certificado e impede que uma referência de cluster remoto seja criada com um certificado inválido.	Alta (7.5)	Servidor Couchbase	5.0.0	5.5.0	Junho de 2018
CVE-2019-11496	A edição das configurações do bucket no Couchbase Server permite a autenticação sem credenciais. Nas versões do Couchbase Server anteriores à 5.0, o bucket denominado "default" era um bucket especial que permitia acesso de leitura e gravação sem autenticação. Como parte da versão 5.0, o comportamento de todos os buckets, inclusive o "default", foi alterado para permitir apenas o acesso de usuários autenticados com autorização suficiente. No entanto, os usuários tinham permissão de acesso não autenticado e não autorizado ao bucket "default" se as propriedades desse bucket fossem editadas. Isso foi corrigido.	Alta (8.7)	Servidor Couchbase	5.0.0	5.1.0 5.5.0	Dezembro de 2017

CVE-2025-49015

O .NET SDK v3.7.1 e anteriores podiam ignorar a verificação do nome do host do certificado
No .NET SDK v3.7.1 e versões anteriores, a verificação do nome do host para certificados TLS não era aplicada corretamente em todos os casos.

Médio
(4.9)

SDK do Couchbase .NET

3.7.0,
3.6.x,
3.5.x,
3.4.x,
3.3.x,
3.2.x,
3.1.x,
3.0.x

3.7.1

Junho de 2025

CVE-2024-30171
CVE-2024-29857
CVE-2024-30172

Atualize Bouncy Castle para 1.79
Foi descoberto um problema nas APIs de criptografia Java do Bouncy Castle antes da versão 1.78. Um loop infinito do código de verificação Ed25519 pode ocorrer por meio de uma assinatura e uma chave pública criadas.

Médio
(6.9)

Servidor Couchbase

Servidor
7.6.5,
7.6.4,
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.6,
7.2.7

Maio de 2025

CVE-2025-46619

Vulnerabilidade de inclusão de arquivo local identificada no Couchbase Server para Windows

Foi descoberto um problema de segurança no Couchbase Server para Windows que pode permitir o acesso não autorizado a arquivos confidenciais no sistema. Dependendo do nível de privilégios, essa vulnerabilidade pode conceder acesso a arquivos como / etc / passwd ou / etc / shadow.

Alta
(8.7)

Servidor Couchbase

Servidor
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.6.4,
7.2.7

Abril de 2025

CVE-2024-21235

Atualize o JDK para 17.0.13

Essa vulnerabilidade é difícil de ser explorada, mas permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa os produtos afetados. Uma exploração bem-sucedida pode resultar em atualizações, inserções ou exclusões não autorizadas de dados acessíveis, bem como acesso de leitura não autorizado a determinados subconjuntos de dados.

Médio
(4.8)

Servidor Couchbase

Servidor
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.4,
7.2.7

Abril de 2025

CVE-2024-56178

Criação não autorizada de um usuário com funções elevadas

Um usuário com a função security_admin_local pode criar um novo usuário em um grupo que tenha a função "admin", possivelmente concedendo privilégios elevados além das permissões pretendidas.

Médio
(6.9)

Servidor Couchbase

Servidor
7.6.3,
7.6.2,
7.6.1,
7.6.0

Servidor
7.6.4

Dezembro de 2024

CVE-2024-21094
CVE-2024-21011
CVE-2024-21068
CVE-2024-21012

Atualize o JDK para 17.0.11

A vulnerabilidade permite que invasores não autenticados com acesso à rede por meio de vários protocolos comprometam o Oracle Java SE, o Oracle GraalVM for JDK e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos dessa vulnerabilidade podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Java SE, Oracle GraalVM for JDK e Oracle GraalVM Enterprise Edition.

Baixa
(3.7)

Servidor Couchbase

Servidor
7.6.1,
7.6.0,
7.2.5
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.2,
7.2.6

Agosto de 2024

CVE-2016-2183
CVE-2016-6329

Portas de gerenciamento de cluster vulneráveis à vulnerabilidade SWEET32.

As cifras DES e Triple DES, usadas nos protocolos TLS, SSH e IPSec e em outros protocolos e produtos, têm um limite de aniversário de aproximadamente quatro bilhões de blocos, o que facilita a obtenção de dados de texto claro por atacantes remotos por meio de um ataque de aniversário contra uma sessão criptografada de longa duração, conforme demonstrado por uma sessão HTTPS usando Triple DES no modo CBC, também conhecido como ataque "Sweet32".

Alta
(8.7)

Servidor Couchbase

Servidor
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x
4.x
3.x,
2.x

Servidor
7.6.0,
7.2.6

Agosto de 2024

CVE-2024-25673

Vulnerabilidade de manipulação de cabeçalho.

O cabeçalho Host de uma solicitação HTTP de entrada foi copiado às cegas para o cabeçalho Location.

Médio
(4.2)

Servidor Couchbase

Servidor
7.6.1,
7.6.0,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.6.2,
7.2.6

Agosto de 2024

CVE-2024-37034

As credenciais são negociadas com o KV usando SCRAM-SHA quando a criptografia de link remoto está configurada para HALF.

O SDK negociará com SCRAM-SHA por padrão, o que permite que um MITM negocie credenciais PLAIN.

Médio
(5.9)

Servidor Couchbase

Servidor
7.6.0,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.6.1,
7.2.5

Julho de 2024

CVE-2024-0519

Atualize a versão 8 para 12.1.285.26.

O acesso à memória fora dos limites no V8 do Google Chrome anterior à versão 120.0.6099.224 permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada.

Alta
(8.8)

Servidor Couchbase

Servidor
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.6.2,
7.2.5

Julho de 2024

CVE-2023-50782

Atualize o pyca-cryptography para a versão 42.0.5.

Foi encontrada uma falha no pacote python-cryptography. Esse problema pode permitir que um invasor remoto descriptografe mensagens capturadas em servidores TLS que usam trocas de chaves RSA, o que pode levar à exposição de dados confidenciais ou sensíveis.

Alta
(7.5)

Servidor Couchbase

Servidor
7.6.1,
7.6.0

Servidor
7.6.2,
7.2.5

Julho de 2024

CVE-2023-49338

O endpoint de estatísticas do Query Service estava acessível sem autenticação.

O ponto de extremidade Query stats não implementou a autenticação correta, possibilitando a exibição das informações de estatísticas.

Médio
(5.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-45873

O usuário com a função de leitor de dados pode eliminar o serviço de dados por OOM.

Um usuário com o privilégio de Data Reader poderia interromper o Data Service enviando GetKeys solicitando um grande número de documentos, acionando um erro OOM (Out-of-Memory).

Médio
(6.5)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-45874

Os leitores de dados podiam usar o DOS nos threads de leitura.

Um usuário com a função de leitor de dados poderia bloquear um thread de leitor do serviço de dados por um tempo significativo ao solicitar um grande número de chaves e, possivelmente, bloquear todos os threads de leitor ao emitir o mesmo comando em várias conexões.

Médio
(4.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-43769

Portas de serviço RMI não autenticadas expostas no serviço Analytics.

As portas de rede 9119 e 9121 eram portas de serviço RMI não autenticadas hospedadas pelo Analytics Service, o que poderia resultar em escalonamento de privilégios.

Crítico
(9.1)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-50437

O otpCookie foi mostrado a um usuário com função Full Admin nos pontos de extremidade da API serverGroups e engageCluster2 do Cluster Manager.

O otpCookie do cluster vazou para os usuários com a função Full Admin no ponto de extremidade da API serverGroups e tanto o Cluster Admin quanto o Full Admin no ponto de extremidade da API engageCluster2. Isso poderia ser usado para elevar os privilégios.

Alta
(8.6)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-49931

As chamadas cURL do SQL++ para / diag / eval não eram suficientemente restritas.

A chamada de cURL via SQL++ (N1QL) usando o serviço de consulta para o ponto de extremidade localhost / diag / eval não foi totalmente evitada.

Alta
(8.6)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-49932

Problema de implementação das restrições de host cURL do SQL++ N1QL.

A proteção da lista de permissões cURL do SQL++ (N1QL) no Query Service não foi suficiente para impedir o acesso a hosts restritos.

Médio
(5.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-49930

As chamadas de eventos do SQL++ cURL para o diag eval não eram suficientemente restritas.

A chamada de cURL via SQL++ (N1QL) por meio do Eventing Service para o ponto de extremidade diag eval do host local não foi totalmente evitada.

Alta
(8.6)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.5.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-50436

O usuário interno Full Admin para credenciais de gerenciamento de cluster vazou para o arquivo de registro.

Um evento de registro fez com que as credenciais internas de administrador do @ns_server vazassem de forma codificada no diag.log.

Baixa
(2.1)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.6,
7.1.5

Servidor
7.2.4

Janeiro de 2024

CVE-2024-23302

Vazamento de chave privada TLS no arquivo de registro XDCR.

A chave privada usada para Cross Datacenter Replication (XDCR) vazou no goxdcr.log.

Baixa
(2.1)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.5.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-38545

Atualize o cURL para a versão 8.4.0.

A falha no curl faz com que ele transborde um buffer baseado em heap no handshake do proxy SOCKS5.

Crítico
(9.8)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-5678

Atualize para o OpenSSL 3.1.4.

Os aplicativos que usam as funções DH_generate_key() para gerar uma chave X9.42 DH e os aplicativos que usam DH_check_pub_key(), DH_check_pub_key_ex() ou EVP_PKEY_public_check() para verificar uma chave X9.42 DH ou parâmetros X9.42 DH podem sofrer grandes atrasos. Quando a chave ou os parâmetros que estão sendo verificados tiverem sido obtidos de uma fonte não confiável, isso pode levar a uma negação de serviço.

Médio
(5.3)

Servidor Couchbase

Servidor
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.4

Janeiro de 2024

CVE-2023-44487

Atualize o gRPC para a versão v1.58.3.

O protocolo HTTP/2 permite uma negação de serviço porque o cancelamento da solicitação pode redefinir muitos fluxos rapidamente.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.3,
7.1.6

Novembro de 2023

CVE-2023-44487

Atualize o Golang para a versão 1.20.10.

O protocolo HTTP/2 permite uma negação de serviço porque o cancelamento da solicitação pode redefinir muitos fluxos rapidamente.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.3,
7.1.6

Novembro de 2023

CVE-2023-0464

Atualize para o OpenSSL 1.1.1u.

Uma vulnerabilidade no OpenSSL relacionada à verificação de cadeias de certificados X.509 que incluem restrições de política, o que permitiria que os invasores explorassem essa vulnerabilidade criando uma cadeia de certificados maliciosa que aciona o uso exponencial de recursos computacionais, levando a um ataque de negação de serviço (DoS) nos sistemas afetados.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.1,
7.1.5

Novembro de 2023

CVE-2022-41723

Atualização do GoLang para a versão 1.19.9.

Um fluxo HTTP/2 criado de forma maliciosa pode causar consumo excessivo de CPU no decodificador HPACK, suficiente para causar uma negação de serviço a partir de um pequeno número de pequenas solicitações.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Servidor
7.2.1,
7.1.5

Novembro de 2023

CVE-2023-3079

CVE-2023-2033

Atualize a versão V8 para 11.4.185.1.

A confusão de tipos no V8 do Google Chrome anterior à versão 114.0.5735.110 permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada.

Alta
(8.0)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.1,
7.1.5

Novembro de 2023

CVE-2023-21930

CVE-2023-21954

CVE-2023-21967

CVE-2023-21939

CVE-2023-21938

CVE-2023-21937

CVE-2023-21968

Atualize o OpenJDK para a versão 11.0.19.

Atualize o OpenJDK para a versão 11.0.19 para resolver vários CVEs.

Alta
(7.4)

Servidor Couchbase

Servidor
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Servidor
7.1.5

Novembro de 2023

CVE-2023-36667

Problema de segurança de travessia do Windows.

A interface de usuário do Windows do Couchbase Server permite que um invasor atravesse o sistema de arquivos e exiba os arquivos aos quais o Couchbase tem acesso. Essa vulnerabilidade não exige nenhuma autenticação. Ela pode ser explorada apenas acrescentando pastas/arquivos ao URL da interface de usuário do administrador do Couchbase Server.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.2.1,
7.1.5

Novembro de 2023

CVE-2023-43768

Usuários não autenticados podem fazer com que o memcached fique sem memória.

Um usuário mal-intencionado pode facilmente travar um servidor memcached ao se conectar ao servidor e começar a enviar comandos grandes.

Alta
(7.5)

Servidor Couchbase

Servidor
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Servidor
7.2.1,
7.1.5

Novembro de 2023

CVE-2023-45875

Vazamento de chave privada no debug.log ao adicionar um nó pré-7.0 ao cluster 7.2.

A chave privada é vazada para o debug.log ao adicionar um nó pré-7.0 ao cluster 7.2.

Médio
(4.4)

Servidor Couchbase

Servidor
7.2.0

Servidor
7.2.1

Novembro de 2023

CVE-2022-41881

CVE-2022-41915

Atualize o Netty para a versão 4.1.86.Final ou superior.

Em versões anteriores à 4.1.86.Final, um StackOverflowError pode ser gerado ao analisar uma mensagem malformada criada devido a uma recursão infinita.

Baixa
(2.2)

Servidor Couchbase

Servidor
6.6.6,
7.0.5,
7.1.3

Servidor
7.2.0,
7.1.4

Maio de 2023

CVE-2023-28470

O ponto de extremidade nsstats do Full Text Search (FTS) pode ser acessado sem autenticação.

O ponto de extremidade do FTS stats em / api / nsstats não implementa a autenticação correta, portanto, é possível visualizar os nomes dos buckets do Couchbase Server, os nomes dos índices do FTS e a configuração dos índices do FTS sem autenticação. O conteúdo dos buckets e índices não é exposto.

Médio
(5.3)

Servidor Couchbase

Servidor
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Servidor
7.1.4

Março de 2023

CVE-2023-25016

As credenciais podem vazar para os registros se houver uma falha durante a junção de um nó.

Durante uma falha de união de nós, as credenciais não editadas do usuário que faz a solicitação REST podem vazar para os arquivos de registro.

Médio
(6.3)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.1.2,
7.0.5,
6.6.6

Janeiro de 2023

CVE-2022-42951

O Couchbase Cluster Manager não possui controles de acesso durante a reinicialização de um nó de cluster.

Durante a inicialização de um nó de servidor do couchbase, há um curto período de tempo em que o cookie de segurança é definido como "nocookie", o que não oferece controles de acesso ao protocolo de distribuição Erlang. Se um invasor se conectar a esse protocolo durante esse período, ele poderá executar código arbitrário remotamente em qualquer nó do cluster a qualquer momento até que a conexão seja interrompida. O código executado estará sendo executado com os mesmos privilégios que o servidor Couchbase.

Crítico
(9.8)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
7.1.2,
7.0.5,
6.6.6

Janeiro de 2023

CVE-2022-42004

CVE-2022-42003

Atualização do Jackson Databind para a versão 2.13.4.2+ usada no Analytics Service para resolver vulnerabilidades.

A exaustão de recursos do Couchbase Analytics Service pode ocorrer devido à falta de uma verificação para evitar o uso de arrays profundamente aninhados.

Alta
(7.5)

Servidor Couchbase

Servidor
7.1.2,
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1
6.6.0
6.5.x,
6.0.x,
5.x,
4.x

Servidor
7.1.3,
7.0.5,
6.6.6

Janeiro de 2023

CVE-2022-42950

Uma solicitação HTTP criada para a API REST pode causar um OOM do serviço de backup.

Um corpo de solicitação HTTP extremamente grande (ou ilimitado) pode fazer com que o serviço de backup cause um erro OOM (out-of-memory).

Médio
(4.9)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.1.2,
7.0.5

Janeiro de 2023

CVE-2022-1096

Atualização do mecanismo Javascript V8 para a versão 10.7.x.

O mecanismo Javascript v8 usado no Couchbase Server Eventing Service, View Engine, XDCR e N1QL UDFs foi atualizado, pois há uma confusão de tipos nas versões anteriores à 99.0.4844.84 que permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma solicitação criada.

Alta
(8.8)

Servidor Couchbase

Servidor
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.1.2,
7.0.5

Janeiro de 2023

CVE-2021-41561

Atualização do Apache Parquet para a versão 1.12.3.

Um invasor pode usar arquivos Parquet, como opcionalmente usados pelo Couchbase Analytics Service, para causar uma negação de serviço (DoS) se os arquivos maliciosos contiverem valores impróprios no cabeçalho da página do arquivo (por exemplo, valores negativos onde se espera um valor positivo). Isso é resolvido com a atualização da biblioteca Apache Parquet para uma versão mais recente.

Alta
(7.5)

Servidor Couchbase

Servidor
7.1.1,
7.1.0

Servidor
7.1.2

Novembro de 2022

CVE-2022-37026

Atualização do Erlang para a versão 24.3.4.4.

Ao usar o recurso tls/ssl no servidor couchbase, é possível ignorar a autenticação do cliente em determinadas situações. Especificamente, qualquer aplicativo que use o servidor ssl/tls/dtls e a opção de certificação do cliente "{verify, verify_peer}" são afetados por essa vulnerabilidade. As correções foram lançadas nas trilhas compatíveis com os patches 23.3.4.15, 24.3.4.2 e 25.0.2 do tempo de execução do erlang/OTP. Somente os clusters que usam autenticação baseada em certificado são afetados.

Crítico
(9.8)

Servidor Couchbase

Servidor
7.1.1,
7.1.0

Servidor
7.1.2

Novembro de 2022

CVE-2022-32556

A chave privada é vazada para os arquivos de registro com determinadas falhas.

Algumas falhas raras podem fazer com que a chave privada do certificado gerado seja vazada para os arquivos de registro.

Médio
(6.3)

Servidor Couchbase

Servidor
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x

Servidor
7.1.1,
7.0.4,
6.6.6

Julho de 2022

CVE-2022-24675

CVE-2022-23772

CVE-2022-24921

Atualização do GoLang para um mínimo de 1.17.9 ou 1.18.1.

Atualização da linguagem de programação Go e das bibliotecas associadas usadas em vários serviços do Couchbase Server para as versões 1.17.9+ ou 1.18.1+ para resolver várias CVEs.

Alta
(7.5)

Servidor Couchbase

Servidor
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5x,
6.0.x,
5.x,
4.x

Servidor
7.1.1,
7.0.5,
6.6.6

Julho de 2022

CVE-2020-36518

Atualização da biblioteca jackson-databind para a versão 2.13.2.2.

jackson-databind, antes da versão 2.13.0, permite uma exceção Java StackOverflow e a negação de serviço por meio de uma grande quantidade de objetos aninhados. Essa biblioteca é usada pelo Couchbase Server Analytics Service

Médio
(6.5)

Servidor Couchbase

Servidor
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Servidor
7.1.1,
7.0.4,
6.6.6

Julho de 2022

CVE-2022-1292

Atualização do openssl para 1.1.1o.

Atualização do openssl para corrigir uma falha em um componente do openssl, o c_rehash. Esse script examina diretórios e obtém um valor de hash de cada arquivo .pem e .crt no diretório. Em seguida, ele cria links simbólicos para cada um dos arquivos nomeados pelo valor de hash. Ele tem uma falha que permite a injeção de comandos no script.

Crítico
(9.8)

Servidor Couchbase

Servidor
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
7.1.1,
7.0.4,
6.6.6

Julho de 2022

CVE-2022-34826

A frase secreta da chave privada criptografada pode ser vazada nos registros.

No Couchbase Server 7.1.0 e posteriores, é possível fornecer uma frase secreta ao Couchbase Server para desbloquear uma chave privada TLS criptografada. Descobriu-se que essa frase secreta vazava nos arquivos de registro como uma cadeia de caracteres codificada em Base64 quando um dos serviços do Couchbase, que não o Data Service, era iniciado. Isso afeta o Index Service, o Query Service, o Analytics Service, o Backup Service e o Eventing Service se o recurso opcional de chaves TLS criptografadas for usado. Observe que um invasor precisa ter acesso aos registros e à chave privada para poder realizar ataques, como um ataque man in the middle ou a descriptografia da comunicação de rede. O uso de proteções do sistema operacional para restringir o acesso a esses arquivos pode ser uma estratégia de atenuação eficaz.

Médio
(4.4)

Servidor Couchbase

Servidor
7.1.0

Servidor
7.1.1

Julho de 2022

CVE-2021-42581

Atualização da ramda, uma biblioteca javascript do lado do cliente, para a versão 0.28, usada na interface do usuário do Couchbase Server.

O Ramda 0.27.0 e versões anteriores permitem que os invasores comprometam a integridade ou a disponibilidade do aplicativo por meio do fornecimento de um objeto criado (que contém uma propriedade própria "{}proto{}") como argumento da função, conhecido como poluição de protótipo. Os ataques do tipo poluição de protótipo permitem contornar a validação de entrada e acionar a execução inesperada de javascript.

Crítico
(9.1)

Servidor Couchbase

Servidor
7.1.0,
7.0.x

Servidor
7.1.1

Julho de 2022

CVE-2021-44906

Atualização do js-beautify para a versão 1.14.3, uma biblioteca javascript do lado do cliente usada na interface do usuário do Couchbase Server.

O js-beautify tem uma dependência com uma vulnerabilidade conhecida, o Minimist. O Minimist <=1.2.5 é vulnerável à poluição de protótipos por meio do arquivo index.js, função setKey() (linhas 69-95). Os ataques de poluição de protótipos permitem contornar a validação de entrada e acionar a execução inesperada de javascript.

Crítico
(9.8)

Servidor Couchbase

Servidor
7.1.0,
7.0.x

Servidor
7.1.1

Julho de 2022

CVE-2022-33911

Os nomes de campo não são redigidos em mensagens de validação registradas para o Analytics Service.

Ao criar índices secundários com o Couchbase Server Analytics Service, há algumas validações nos campos indexados que são relatadas ao usuário e registradas. A mensagem de erro com o código ASX0013 é usada em vários caminhos para informar e registrar que há um nome de campo duplicado. Os nomes dos campos nessas mensagens de validação registradas não são redigidos. Além disso, os erros com o código ASX1079 têm nomes de campos que não são redigidos.

Baixa
(1.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
7.0.4,
6.6.6

Junho de 2022

CVE-2022-33173

O Analytics Remote Links pode fazer downgrade temporário para uma conexão não TLS para determinar a porta TLS.

Em caso de falha no estabelecimento da conexão TLS para um Analytics Remote Link configurado com encryption=full, o tempo de execução tentaria descobrir a porta TLS (não padrão) tentando uma conexão não TLS com o cluster remoto, usando SCRAM-SHA para autenticação. Embora as credenciais não sejam compartilhadas quando o SCRAM-SHA é usado, não se pode esperar que o sistema faça o downgrade do nível de criptografia prescrito que especificou uma conexão TLS. Esse mecanismo de fallback foi removido e, em uma falha no estabelecimento inicial de uma conexão TLS, o CONNECT LINK simplesmente falhará até que a porta TLS correta seja fornecida como parte da configuração do link.

Baixa
(2.0)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Servidor
7.0.4,
6.6.6

Junho de 2022

CVE-2022-32565

O registro do serviço de backup vaza nomes de usuário e IDs de documentos não editados.

Se o serviço de backup não conseguir registrar uma mensagem de auditoria, ele vaza os dados do registro de auditoria para o backup_service.log, que não é redigido.

Baixa
(1.8)

Servidor Couchbase

Servidor
7.0.x

Servidor
7.1.0

Junho de 2022

CVE-2020-14040

Atualize o pacote golang.org/x/text para a versão 0.3.4 ou posterior.

O pacote golang.org/x/text/encoding/unicode que pode fazer com que o decodificador UTF-16 entre em um loop infinito, causando o travamento do programa ou a falta de memória.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Servidor
7.0.4,
6.6.6

Junho de 2022

CVE-2022-32192

O couchbase-cli vaza a senha mestra do Secrets Management como um argumento de linha de comando.

O couchbase-cli gera um processo erlang de vida muito curta que tem a senha mestra como argumento do processo, o que significa que, se alguém obtiver a lista de processos naquele momento, terá a senha mestra. Isso afeta apenas os clusters do Couchbase Server que utilizam o recurso Gerenciamento de segredos.

Médio
(5.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Servidor
7.0.4,
6.6.6

Junho de 2022

CVE-2022-32562

As operações podem ser bem-sucedidas na coleção usando permissão RBAC obsoleta.

Se uma função RBAC contiver uma permissão em nível de coleção (por exemplo, query_select[src:_default:Collection1]) e o nome da coleção for excluído e recriado no bucket, a permissão em nível de coleção ainda será válida. Isso permite que o usuário com a função acesse a coleção, embora sua permissão devesse ter sido removida quando a coleção foi excluída.

Alta
(8.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.0.4

Junho de 2022

CVE-2022-32560

XDCR - não há verificação de função ao alterar as configurações internas.

Nas versões afetadas do Couchbase Server, as configurações internas do XDCR podem ser modificadas sem qualquer autenticação.

Médio
(4.0)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Servidor
7.0.4

Junho de 2022

CVE-2022-32564

couchbase-cli: o server-eshell vaza o cookie do Cluster Manager.

Nas versões afetadas do Couchbase Server, o "cookie" do Erlang é passado por meio de um argumento de linha de comando para o 'erl' ao usar o comando 'server-eshell'; isso divulgou o "cookie" para todos que pudessem ler os argumentos do processo 'couchbase-cli'. O cookie deve permanecer secreto, pois pode ser usado para executar tarefas administrativas no cluster.

Alta
(7.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.1.0,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x,
1.x

Servidor
7.0.4,
6.6.6

Junho de 2022

CVE-2021-3737

Python atualizado para a versão 3.9.12 para resolver um problema de negação de serviço.
Foi encontrada uma falha no Python. Uma resposta HTTP tratada incorretamente no código do cliente HTTP do Python pode permitir que um invasor remoto, que controla o servidor HTTP, faça o script do cliente entrar em um loop infinito, consumindo tempo da CPU. Esse problema afeta apenas os clusters que usam o recurso de visualização do desenvolvedor, Analytics UDFs.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.0.4

Junho de 2022

CVE-2022-32558

O carregamento do balde de amostra pode vazar senhas de usuários internos durante uma falha.

Uma falha durante o carregamento de um bucket de amostras (beer-sample, gamesim-sample, travel-sample) pode vazar a senha do usuário administrador interno @ns_server nos registros (debug.log, error.log, info.log, reports.log). A conta @ns_server pode ser usada para executar ações administrativas.

Médio
(6.4)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Servidor
7.0.4,
6.6.6

Junho de 2022

CVE-2022-32193

A chave privada pode ser registrada durante uma falha do componente Cluster Manager do Couchbase Server.

Ao realizar adições de nós de cluster, uma falha do Cluster Manager (ns_server) pode fazer com que a chave privada vaze para os arquivos de registro. Alguém que tenha acesso aos arquivos de registro pode ser capaz de descriptografar conexões de rede seguras com o cluster. Se o TLS for usado, as credenciais de usuários e aplicativos que fazem login no cluster poderão ser adquiridas.

Médio
(6.3)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Servidor
7.0.4,
6.6.6

Junho de 2022

CVE-2022-32561

As atenuações anteriores para o CVE-2018-15728 foram consideradas insuficientes quando se descobriu que os endpoints de diagnóstico ainda podiam ser acessados pela rede.

Os pontos de extremidade de diagnóstico, como diag/eval, são restritos e só podem ser executados a partir da rede de loopback. No entanto, as verificações implementadas para resolver o CVE-2018-15728 não verificam corretamente se um cabeçalho "X-Forwarded-For" contém um endereço de loopback. Esse cabeçalho pode ser manipulado para contornar a restrição de loopback.

A vulnerabilidade é limitada a solicitações originadas de redes privadas e espaços de endereços compartilhados, de acordo com a RFC6890.

Para poder emitir solicitações com êxito a esses endpoints, um usuário precisa de privilégios administrativos completos, independentemente do cabeçalho "X-Forwarded-For" usado.

Uma solução alternativa para esse problema é bloquear as solicitações para os nós do Couchbase Server que contêm cabeçalhos "X-Forwarded-For" em ambientes em que eles não são necessários.

Reconhecimento: Mucahit Karadag / PRODAFT

Alta
(8.8)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Servidor
6.6.5,
7.0.4

Junho de 2022

CVE-2022-32557

O Index Service não impõe autenticação para servidores TCP/TLS.

O Serviço de índice executa vários processos de rede, Queryport, Dataport e Adminport. Eles são usados para se comunicar com outros serviços do Couchbase. Esses processos participam da comunicação nó a nó, mas não se comunicam diretamente com os aplicativos SDK. Nas versões afetadas do Couchbase Server, esses processos de rede não impõem autenticação e, portanto, processam solicitações enviadas por usuários não autenticados.

O servidor Queryport pode responder a um usuário não autenticado com resultados de varredura de índice.

O servidor Dataport pode permitir que usuários não autenticados modifiquem dados indexados.

O servidor Adminport pode permitir que usuários não autenticados realizem operações DDL (como criar e soltar índices).

Possível solução alternativa: Como essas portas são usadas somente para comunicação interna pelo Couchbase Server, qualquer conexão/comunicação com nós e processos que não sejam do Couchbase Server pode ser desativada na camada de rede.

Alta
(8.2)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Servidor
7.0.4

Junho de 2022

CVE-2022-32559

Solicitações http aleatórias levam ao vazamento de métricas.

Usuários não autenticados podem fazer uma chamada de API REST para o gerenciador de cluster. Cada solicitação http que não tenha sido vista antes pelo gerenciador de cluster leva à criação de uma nova métrica. Cada nova métrica ocupa alguma memória e algum espaço em disco, o que pode criar um vazamento de memória e de espaço em disco. Se forem usados recursos suficientes, isso poderá causar falha em um nó do Couchbase Server.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0

Servidor
7.0.4

Junho de 2022

CVE-2022-32563

As credenciais de administrador não são verificadas ao usar a autenticação de certificado de cliente X.509 do Sync Gateway para o Couchbase Server.

Quando o Sync Gateway é configurado para autenticar com o Couchbase Server usando certificados de cliente X.509, as credenciais de administrador fornecidas à API REST de administração são ignoradas, resultando em escalonamento de privilégios para usuários não autenticados. A API REST pública não é afetada por esse problema.

Solução alternativa: Substitua a autenticação baseada em certificado X.509 pela autenticação de nome de usuário e senha dentro da configuração de bootstrap.

Crítico
(9.8)

Gateway de sincronização do Couchbase

Gateway de sincronização do Couchbase:
3.0.0,
3.0.1

3.0.2

Junho de 2022

CVE-2021-33504

A adição de nós não confiáveis pode ser manipulada para obter o segredo de um cluster.

Os administradores que adicionam um nó não confiável a um cluster podem, inadvertidamente, correr o risco de transmitir o cookie do cluster, que deve permanecer secreto.

Isso pode ser resolvido com a implantação da criptografia TLS com certificados assinados pela Autoridade de Certificação. Ao usar o TLS, é necessário que um certificado confiável esteja presente no nó de entrada da versão 7.1.0 do Couchbase Server.

Reconhecimento: Ofir Hamam, pesquisador de segurança do Centro de Segurança Avançada da EY Israel

Alta
(7.6)

Servidor Couchbase

Servidor
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Servidor
7.1.0

Maio de 2022

CVE-2022-26311

Segredos não redigidos em registros coletados de ambientes Kubernetes.

O Couchbase Operator 2.2.0 introduziu uma otimização que simplificou a coleta de registros. Quando os registros são coletados, a ferramenta de suporte - "cbopinfo" - é usada para coletar os recursos do Kubernetes necessários para obter informações sobre o estado pretendido do recurso e o status atual do recurso. Antes das versões afetadas, os dados secretos eram redigidos, mas essa funcionalidade não foi mantida no novo método de coleta. Como resultado, os registros conteriam erroneamente senhas, tokens e chaves privadas dentro do escopo da coleta de registros. Por padrão, esse escopo será limitado ao namespace do Kubernetes no qual reside o cluster do Couchbase Server sob inspeção. A exceção a isso é se o sinalizador --system tiver sido especificado, caso em que todos os segredos na plataforma terão sido expostos. Os logs são usados para identificar e corrigir problemas dos clientes e, portanto, somente os clientes que forneceram logs, com as versões de ferramentas especificadas, são afetados. O Couchbase garantirá que todos os logs afetados que foram fornecidos sejam redigidos.

Alta
(7.2)

Operador nativo da nuvem do Couchbase

2.2.0,
2.2.1,
2.2.2

2.2.3

Março de 2022

CVE-2021-44228

Atualização do Apache Log4J para a versão 2.15.0

Um problema crítico no utilitário Apache Log4J, usado pelo Couchbase Analytics Service, precisa ser atualizado para evitar a possível execução remota de código (RCE) e a extração de dados confidenciais.

Crítico
(10)

Servidor Couchbase

Servidor
7.0.2,
7.0.1,
7.0.0,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Servidor
7.0.3,
6.6.4

Dezembro de 2021

CVE-2021-43963

O Sync Gateway armazena de forma insegura as credenciais do bucket do Couchbase Server

As credenciais do bucket usadas pelo Sync Gateway para ler e gravar dados no Couchbase Server estavam sendo armazenadas de forma insegura nos metadados dos documentos de sincronização gravados no bucket. Os usuários com acesso de leitura podiam usar essas credenciais para obter acesso de gravação. Esse problema não afeta os clusters em que o Sync Gateway é autenticado com certificados de cliente x.509. Esse problema também não afeta os clusters em que o acesso ao bucket compartilhado não está ativado no Sync Gateway.

Médio
(6.5)

Gateway de sincronização do Couchbase

Gateway de sincronização
2.8.2,
2.8.1,
2.8.0,
2.7.x

Sync Gateway 2.8.3

Outubro de 2021

CVE-2021-37842

Os registros não redigem as credenciais do XDCR remoteCluster

As credenciais XDCR do cluster remoto podem vazar nos registros de depuração. A purga de tombstone da chave de configuração foi adicionada ao Couchbase Server 7.0.0. Esse problema ocorre quando uma chave de configuração, que está sendo registrada, tem um carimbo de tempo de purga de tombstone anexado a ela.

Alta
(7.6)

Servidor Couchbase

Servidor
7.0.1,
7.0.0

Servidor
7.0.2

Outubro de 2021

CVE-2021-42763

Credenciais expostas no registro de erros de falhas a partir de um backtrace

Como parte de uma coleta de registro cbcollect_info, o Couchbase Server coleta as informações do processo de todos os processos em execução na VM Erlang. O problema ocorre quando o gerenciador de cluster encaminha uma solicitação HTTP da UI conectável (query workbench, etc.) para o serviço específico. No backtrace, o cabeçalho de autenticação básica incluído na solicitação HTTP tem as credenciais de usuário "@" do nó que processa a solicitação da interface do usuário. Para que o problema ocorra, as informações do processo devem ser acionadas no momento exato em que uma solicitação de UI conectável estiver sendo atendida pelo gerenciador de cluster.

Alta
(8.8)

Servidor Couchbase

Severo
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Servidor
6.6.3,
7.0.2

Outubro de 2021

CVE-2021-33503

Atualização do Python urllib3 para 1.26.5 ou superior

Foi descoberto um problema no urllib3 antes da versão 1.26.5, usado pelas ferramentas de linha de comando do Couchbase Server. Quando essas ferramentas recebem um URL contendo muitos caracteres @ no componente de autoridade, a expressão regular de autoridade apresenta um retrocesso catastrófico, causando uma negação de serviço da ferramenta de linha de comando se um URL for passado como parâmetro ou redirecionado por meio de um redirecionamento HTTP.

Alta
(7.5)

Servidor Couchbase

Servidor
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Servidor
6.6.3,
7.0.2

Outubro de 2021

CVE-2020-36242

Atualização do pacote de criptografia Python para a versão 3.3.2

No pacote de criptografia anterior à versão 3.3.2 para Python, usado pelas ferramentas de linha de comando do Couchbase Server, determinadas sequências de chamadas de atualização para criptografar simetricamente valores de vários GB podem resultar em um estouro de inteiro e estouro de buffer nessa ferramenta.

Crítico
(9.1)

Servidor Couchbase

Severo
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Servidor
6.6.3,
7.0.2

Outubro de 2021

CVE-2021-35944

Um pacote de rede especialmente criado e enviado por um invasor pode travar o memcached

Isso pode causar a indisponibilidade do Serviço de Dados. Recomenda-se usar um firewall para permitir que apenas o tráfego de rede de seus aplicativos se comunique com o cluster do Couchbase Server.

Alta
(8.2)

Servidor Couchbase

Servidor
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor
6.6.3,
7.0.1

Setembro de 2021

CVE-2021-35945

Um pacote de rede especialmente criado e enviado por um invasor pode travar o memcached

Isso pode causar a indisponibilidade do Serviço de Dados. Recomenda-se usar um firewall para permitir que apenas o tráfego de rede de seus aplicativos se comunique com o cluster do Couchbase Server.

Alta
(8.2)

Servidor Couchbase

Servidor
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Servidor
6.6.3,
7.0.1

Setembro de 2021

CVE-2021-35943

Os usuários gerenciados externamente não são impedidos de usar uma senha vazia, de acordo com a RFC4513

Se um servidor LDAP ou Active Directory, usado para autenticação externa, estiver configurado para permitir associações não autenticadas inseguras, o Couchbase Server Cluster Manager permitirá que um usuário externo seja autenticado com uma senha vazia.

Os servidores LDAP podem ser configurados para falhar em solicitações de Unauthenticated Bind com um resultCode de "unwillingToPerform" para evitar que isso ocorra.

Crítico
(9.8)

Servidor Couchbase

Servidor
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor 6.6.3

Agosto de 2021

CVE-2021-23840

CVE-2021-3450

CVE-2021-3449

Atualize o OpenSSL para a versão 1.1.1k

Vários problemas de segurança resolvidos no OpenSSL, um dos quais poderia causar o travamento do servidor TLS se fosse enviada uma mensagem ClientHello de renegociação maliciosamente criada por um cliente.

Médio / Alto
(5.9,
7.4,
7.5)

Servidor Couchbase

Servidor
6.6.2,
6.6.1,
6.6.0,
6.5.x

Servidor 6.6.3

Agosto de 2021

CVE-2019-10768

Atualizar AngularJS para 1.8.0

Problema no Angular usado pela interface do usuário do Couchbase que pode causar uma negação de serviço ao modificar a função merge().

Alta
(7.5)

Servidor Couchbase

Servidor
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Servidor 6.6.3

Agosto de 2021

CVE-2021-31158

As expressões de tabela comuns (CTEs) do N1QL lidavam incorretamente com o controle de acesso.

As consultas Common Table Expression N1QL não respeitavam corretamente os controles de segurança RBAC, dando acesso de leitura a usuários que não tinham a autorização necessária.

Médio
(6.5)

Servidor Couchbase

Servidor
6.6.1,
6.6.0,
6.5.2,
6.5.1,
6.5.0

Servidor 6.6.2

Fevereiro de 2020

CVE-2019-14863

IU do FTS para atualizar para o angular 1.6.9

A interface de usuário do Full Text Seach usa o AngularJS 1.4.7, para o qual existem algumas vulnerabilidades de segurança conhecidas de alta gravidade. Essas bibliotecas do AngularJS foram atualizadas para uma versão mais recente do Angular, que solucionou essas vulnerabilidades.

Alta
(7.4)

Servidor Couchbase

6.0.2,
5.5.5

6.5.0

Janeiro de 2020

CVE-2020-9040

Até o core-io 1.7.11 (e, como resultado, o Java SDK 2.7.11), a verificação do nome do host em conexões TLS/SSL não está ativada e pode ser um risco de segurança em determinados ambientes

O Java 6 (JDK 1.6 - a versão de linha de base do SDK mais antiga) não oferecia suporte à verificação de nome de host imediatamente. Quando o SDK mudou para o Java 7 (Java 1.7) como linha de base, foi possível adicionar suporte. Isso aconteceu no jvm-core 1.7.11 (que se traduz em java-client 2.7.11). Em versões anteriores, não é possível adicioná-lo manualmente como uma solução alternativa, pois os recursos para personalizá-lo adequadamente não estão expostos. Observe que, para não interromper os aplicativos que dependem do comportamento antigo, a verificação do nome do host ainda está desativada por padrão, mas pode ser ativada na configuração do SDK (classe CouchbaseEnvironment).

Alta
(7.5)

SDK Java do Couchbase
Conector do Couchbase Spark
Conector Kafka do Couchbase
(Os conectores dependem do Java SDK ou do Core-IO)

1.7.10,
1.6.0,
1.5.0,
1.4.0,
1.3.0,
1.2.0,
1.1.0,
1.0.0

2.7.11

Abril de 2019

CVE-2020-9039

Os endpoints REST do projetor e do indexador não exigiam autenticação

O ponto de extremidade REST /settings exposto pelo processo do projetor é um ponto de extremidade que os administradores podem usar para várias tarefas, como atualizar a configuração e coletar perfis de desempenho. O ponto de extremidade não era autenticado e foi atualizado para permitir que apenas usuários autenticados acessem essas APIs administrativas.

Reconhecimento: Equipe de segurança da Apple

Alta
(7.6)

Servidor Couchbase

5.5.1,
5.5.0,
5.0.1,
5.0.0,
4.6.x,
4.5.x,
4.1.x,
4.0.x

6.5.0
6.0.0
5.5.2
5.1.2

Setembro de 2018

CVE-2020-9042

O Couchbase Server retorna uma resposta WWW-Authenticate para solicitações não autenticadas

A API REST do servidor responde com um cabeçalho {{WWWW-Authenticate}} a solicitações não autenticadas, o que permite que o usuário se autentique por meio de uma caixa de diálogo de usuário/senha em um navegador da Web. O problema é que essas credenciais são armazenadas em cache pelo navegador, o que permite que um hacker use CSRF para atacar um cluster caso um administrador tenha usado o navegador para verificar os resultados de uma solicitação da API REST. Esse comportamento pode ser desativado usando o couchbase-cli (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Esse recurso não é desativado por padrão, pois pode danificar as ferramentas ou os scripts existentes.

Reconhecimento: Equipe de segurança da Apple

Médio
(6.3)

Servidor Couchbase

6.0.0

6.5.1

Abril de 2020

CVE-2019-11464

A porta 8092 não tem o cabeçalho de proteção X-XSS

Algumas empresas exigem que os pontos de extremidade da API REST incluam cabeçalhos relacionados à segurança nas respostas REST. Cabeçalhos como X-Frame-Options e X-Content-Type-Options são geralmente recomendados; no entanto, alguns profissionais de segurança da informação também exigem a inclusão de X-Permitted-Cross-Domain-Policies e X-XSS-Protection, que são aplicáveis de forma mais geral ao endpoint HTML. Esses cabeçalhos agora estão incluídos nas respostas da API REST do Couchbase Server Views (porta 8092).

Médio
(5.4)

Servidor Couchbase

5.5.0
5.1.2

6.0.2

Março de 2019

CVE-2019-9039

Impedir a injeção de N1QL no Sync Gateway por meio de _all_docs startkey, endkey

Um invasor com acesso à API REST pública do Sync Gateway conseguiu emitir instruções N1QL adicionais e extrair dados confidenciais ou chamar funções N1QL arbitrárias por meio dos parâmetros "startkey" e "endkey" no endpoint "_all_docs". Ao emitir consultas aninhadas com operações que exigem muito da CPU, eles podem ter sido capazes de aumentar o uso de recursos e as condições de negação de serviço. O ponto de extremidade _all_docs não é necessário para a replicação do Couchbase Mobile, e o acesso externo a esse ponto de extremidade REST foi bloqueado para atenuar esse problema.

Reconhecimento: Denis Werner/HiSolutions AG

Alta
(7.6)

Gateway de sincronização do Couchbase

2.1.2

2.5.0
2.1.3

Fevereiro de 2019

CVE-2019-11466

O endpoint de depuração de eventos deve impor a autenticação.

O serviço de eventos expõe um perfil de diagnóstico do sistema por meio de um ponto de extremidade HTTP que não exige credenciais em uma porta destinada apenas ao tráfego interno. Isso foi corrigido e agora requer credenciais válidas para acesso.

Alta
(7.1)

Servidor Couchbase

6.0.0
5.5.0

6.0.1

Dezembro de 2018

CVE-2019-11465

O comando stat block "connections" do Memcached emite um nome de usuário não redigido

As informações do sistema enviadas ao Couchbase como parte de um relatório de bug incluíam os nomes de usuário de todos os usuários atualmente conectados ao sistema, mesmo que o registro fosse redigido para fins de privacidade.

Isso foi corrigido para que os nomes de usuário sejam marcados corretamente nos registros e sejam eliminados quando os registros forem redigidos.

Médio
(6.5)

Servidor Couchbase

6.0.0,
5.5.3,
5.5.2,
5.5.1,
5.5.0

6.0.1
5.5.4

Janeiro de 2019

CVE-2018-15728

O ponto de extremidade /diag/eval não está bloqueado para o localhost.

O Couchbase Server expôs o ponto de extremidade "/diag/eval", que, por padrão, está disponível em TCP/8091 e/ou TCP/18091. Autenticado usuários que tenham 'Full Admin' A função atribuída poderia enviar código Erlang arbitrário para o ponto de extremidade 'diag/eval' da API e o código seria posteriormente executado no sistema operacional subjacente com privilégios do usuário que foi usado para iniciar o Couchbase.

Reconhecimento: Equipe de segurança da Apple

Alta
(8.8)

Servidor Couchbase

5.5.1,
5.5.0,
5.1.1,
5.0.1,
5.0.0,
4.6.5,
4.5.1,
4.1.2,
4.0.0

6.0.0
5.5.2

Outubro de 2018

CVE-2019-11495

O cookie Erlang usa uma semente aleatória fraca.

O cookie usado para comunicação intra-nó não foi gerado com segurança. O Couchbase Server usa erlang:now() para semear o PRNG, o que resulta em um pequeno espaço de pesquisa para possíveis sementes aleatórias que poderiam ser usadas para forçar o cookie e executar código em um sistema remoto.

Reconhecimento: Equipe de segurança da Apple

Alta
(7.9)

Servidor Couchbase

5.1.1

6.0.0

Setembro de 2018

CVE-2019-11467

O documento JSON com >3k caracteres '\t' trava o indexador.

A indexação secundária codifica as entradas a serem indexadas usando collatejson. Quando as entradas de índice continham determinados caracteres, como \t, , isso causava uma sobrecarga do buffer, pois a string codificada seria muito maior do que a contabilizada, fazendo com que o serviço do indexador travasse e reiniciasse. Isso foi corrigido agora para garantir que o buffer sempre cresça conforme necessário para qualquer entrada.

Reconhecimento: D-Trust GmbH

Médio
(5.8)

Servidor Couchbase

5.5.0,
4.6.3

5.1.2,
5.5.2

Agosto de 2018

CVE-2019-11497

O XDCR não valida um certificado de cluster remoto.

Quando um certificado de cluster remoto inválido era inserido como parte da criação da referência, o XDCR não analisava e verificava a assinatura do certificado. Ele então aceitava o certificado inválido e tentava usá-lo para estabelecer conexões futuras com o cluster remoto. Isso foi corrigido. Agora, o XDCR verifica minuciosamente a validade do certificado e impede que uma referência de cluster remoto seja criada com um certificado inválido.

Alta
(7.5)

Servidor Couchbase

5.0.0

5.5.0

Junho de 2018

CVE-2019-11496

A edição das configurações do bucket no Couchbase Server permite a autenticação sem credenciais.

Nas versões do Couchbase Server anteriores à 5.0, o bucket denominado "default" era um bucket especial que permitia acesso de leitura e gravação sem autenticação. Como parte da versão 5.0, o comportamento de todos os buckets, inclusive o "default", foi alterado para permitir apenas o acesso de usuários autenticados com autorização suficiente. No entanto, os usuários tinham permissão de acesso não autenticado e não autorizado ao bucket "default" se as propriedades desse bucket fossem editadas. Isso foi corrigido.

Alta
(8.7)

Servidor Couchbase

5.0.0

5.1.0
5.5.0

Dezembro de 2017

Plataforma

Autogerenciado

Serviços

Recursos

Por que o Couchbase?

Migrar para o Capella

Por caso de uso

Por setor

Por necessidade de aplicativo

Documentos populares

Por função de desenvolvedor

Início rápido

Centro de recursos

Sobre

Parcerias

Nossos serviços

Parceiros: Registrar um negócio

Pronto para registrar um negócio com o Couchbase?

Marriott

Alertas do Couchbase

Alertas de segurança empresarial

Iniciar a construção

Use o Capella gratuitamente

Entre em contato