【風險通告】mongo-express 遠程代碼執(zhí)行漏洞
2020-01-03 00:00:00
2020年1月3日,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到mongo-express官方公布了一個高危遠程代碼執(zhí)行漏洞(CVE-2019-10758)���,且已有公開發(fā)布的漏洞利用POC��,建議受影響的用戶盡快安裝最新補丁��,修復(fù)此漏洞�����。
漏洞編號:
CVE-2019-10758
漏洞名稱:
mongo-express 遠程代碼執(zhí)行漏洞
漏洞危害等級:
高危
漏洞描述:
Mongo-express是一個受眾較廣的MongoDB的管理界面���,后臺默認賬戶為admin:pass,攻擊者可以利用toBSON方法進行遠程代碼執(zhí)行���。目前已有公開發(fā)布的漏洞利用POC��。
影響版本:
mongo-express < 0.54.0
修復(fù)方案:
1. 升級mongo-express到0.54.0及以上版本
2. 暫緩措施:
a) 修改默認口令����,使用強密碼
b) 采用白名單對訪問進行限制
參考鏈接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758
https://github.com/masahiro331/CVE-2019-10758
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/01/03