【初级】Apache CouchDB命令执行漏洞复现

CVE-2017-12636

漏洞描述：Apache CouchDB是一款开源数据库，专注于易用性和成为“完全拥抱Web的数据库”。它使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL类型数据库。CouchDB默认会在5984端口开放RESTful的API接口，用于数据库管理。

由于CouchDB自身设计原因，管理员身份可以通过HTTP(S)方式配置数据库。在某些配置中，可以设置可执行文件的路径，在数据库运行范围内执行。

影响版本：Apache CouchDB < 1.7.0以及 < 2.1.1。

参考资料：

• https://www.cnblogs.com/4thrun/p/15163644.html
• https://blog.csdn.net/whatday/article/details/106618050
• https://www.anquanke.com/post/id/87256
• https://github.com/vulhub/vulhub/tree/master/couchdb/CVE-2017-12635
• https://github.com/vulhub/vulhub/blob/master/couchdb/CVE-2017-12636/README.zh-cn.md