【風(fēng)險通告】mongo-express 遠(yuǎn)程代碼執(zhí)行漏洞
2020-01-03 00:00:00
2020年1月3日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到mongo-express官方公布了一個高危遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-10758),且已有公開發(fā)布的漏洞利用POC�,建議受影響的用戶盡快安裝最新補丁��,修復(fù)此漏洞��。
漏洞編號:
CVE-2019-10758
漏洞名稱:
mongo-express 遠(yuǎn)程代碼執(zhí)行漏洞
漏洞危害等級:
高危
漏洞描述:
Mongo-express是一個受眾較廣的MongoDB的管理界面�,后臺默認(rèn)賬戶為admin:pass����,攻擊者可以利用toBSON方法進(jìn)行遠(yuǎn)程代碼執(zhí)行。目前已有公開發(fā)布的漏洞利用POC��。
影響版本:
mongo-express < 0.54.0
修復(fù)方案:
1. 升級mongo-express到0.54.0及以上版本
2. 暫緩措施:
a) 修改默認(rèn)口令���,使用強密碼
b) 采用白名單對訪問進(jìn)行限制
參考鏈接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758
https://github.com/masahiro331/CVE-2019-10758
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/01/03