发布时间:2020-01-16 11:01:51,来源:中国信息通信研究院
一、 基本情况
mongo-express 存在远程代码执行漏洞,CVE编号:CVE-2019-10758。攻击者可借助使用toBSON方法的端点利用该漏洞执行代码。
mongo-express是一个MongoDB的Admin Web管理界面,使用NodeJS、Express、Bootstrap3编写而成。
mongo-express 0.54.0之前的版本,通过认证后,在终端使用‘toBSON’方法,可以执行远程命令,而 mongo-express 默认的用户名是admin,密码是pass 。
三、 影响范围
mongo-express < 0.54.0
升级到最新版,在config.js文件中配置强口令,设置受信任的访问源。
1) https://github.com/masahiro331/CVE-2019-10758
2) https://nvd.nist.gov/vuln/detail/CVE-2019-10758