mongo-express 存在远程代码执行风险(CVE-2019-10758),腾讯御界支持检测

2020-01-04 10:48:06
mongo-express 0.54.0之前的版本,通过认证后,在终端使用‘toBSON’方法,可以执行远程命令。

【背景】

mongo-express是一个MongoDBAdmin Web管理界面,使用NodeJSExpressBootstrap3编写而成。

目前mongo-express应该是GithubStar最多的MongoDB admin管理界面。

【漏洞详情】

mongo-express 0.54.0之前的版本,通过认证后,在终端使用‘toBSON’方法,可以执行远程命令,而 mongo-express 默认的账号密码是 admin:pass

该漏洞的编号是:CVE-2019-10758POC近日已在网上公布,NVD评分9.9分。

【风险评级】

严重

【影响版本】

0.54.0之前的版本

【修复建议】

升级到最新版,在config.js文件中配置强口令,设置受信任的访问源。

腾讯御界可检测此漏洞的攻击。


【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2019-10758

最新资讯