mongo-express远程代码执行漏洞风险通告
发布时间 2020-01-03漏洞编号和级别
CVE编号:CVE-2019-10758,危险级别:严重,CVSS分值:9.9
影响版本
mongo-express 0.54.0之前版本
漏洞概述
mongo-express是一款用于交互式管理MongoDB数据库的、基于Web的轻量级管理界面。
mongo-express 0.54.0之前的版本,通过认证后,在终端使用‘toBSON’方法,可以执行远程命令,而 mongo-express 默认的账号密码是 admin:pass 。
漏洞验证
POC:https://github.com/masahiro331/CVE-2019-10758。
修复建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://github.com/mongo-express。升级到最新版,在config.js文件中配置强口令,设置受信任的访问源。
参考链接
https://snyk.io/vuln/SNYK-JS-MONGOEXPRESS-473215
京公网安备11010802024551号