关于我们

【风险通告】mongo-express 远程代码执行漏洞

发布时间:2020-01-03 00:00:00

2020年1月3日,金山云安全应急响应中心监控到mongo-express官方公布了一个高危远程代码执行漏洞(CVE-2019-10758),且已有公开发布的漏洞利用POC,建议受影响的用户尽快安装最新补丁,修复此漏洞。

 

漏洞编号:

CVE-2019-10758


 

漏洞名称:

mongo-express 远程代码执行漏洞

 

漏洞危害等级:

高危

 

漏洞描述:

Mongo-express是一个受众较广的MongoDB的管理界面,后台默认账户为admin:pass,攻击者可以利用toBSON方法进行远程代码执行。目前已有公开发布的漏洞利用POC。

 

影响版本:

mongo-express < 0.54.0


 

修复方案:

1.     升级mongo-express到0.54.0及以上版本

2.     暂缓措施:

a)     修改默认口令,使用强密码

b)     采用白名单对访问进行限制

 

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758

https://github.com/masahiro331/CVE-2019-10758

 

 

北京金山云网络技术有限公司

2020/01/03


以上就是金山云为您带来的【风险通告】mongo-express 远程代码执行漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。

金山云,开启您的云计算之旅

免费注册