Bei einem Penetrationstest stießen HiSolutions-Sicherheitsberater auf eine Injection-Schwachstelle im NoSQL-Datenbank-Produkt Couchbase Sync Gateway. Durch diese ließen sich im ersten Schritt Statements der Sprache N1QL – eine Verbindung von SQL und JSON – injizieren. Im zweiten Schritt konnten so klassische SQL-Angriffs-Snippets wie „UNION ALL SELECT …“ an die Datenbank weitergereicht werden, um etwa massenhaft Werte auszulesen. Die kritische Schwachstelle wurde in Version v2.5 und v2.1.3 behoben – alle Nutzer sollten die Patches installieren. Unser Security-Advisory (CVE-2019-9039):
https://research.hisolutions.com/2019/06/n1ql-injection-in-couchbase-sync-gateway-cve-2019-9039/
Nicht möglich? SQL-Lücke in NoSQL-Datenbank
