【高危】- mongo-express 存在远程代码执行风险(CVE-2019-10758)
■ 漏洞描述
mongo-express是一个MongoDB的Admin Web管理界面,使用NodeJS、Express、Bootstrap3编写而成。
mongo-express 0.54.0之前的版本,通过认证后,在终端使用‘toBSON’方法,可以执行远程命令,而 mongo-express 默认的账号密码是 admin:pass 。
■ 影响范围
0.54.0之前的版本
■ 漏洞检测
检测方法:
1、查看软件版本。
2、确认是否存在弱口令。
■ 漏洞修复
升级到最新版:https://github.com/mongo-express/mongo-express
■ 临时修复
1、在config.js文件中配置强口令,设置受信任的访问源。
■ 漏洞详情
https://mp.weixin.qq.com/s/vT_Fr1Nb2TK7waG5usSHrQ
mongo-express是一个MongoDB的Admin Web管理界面,使用NodeJS、Express、Bootstrap3编写而成。
mongo-express 0.54.0之前的版本,通过认证后,在终端使用‘toBSON’方法,可以执行远程命令,而 mongo-express 默认的账号密码是 admin:pass 。
■ 影响范围
0.54.0之前的版本
■ 漏洞检测
检测方法:
1、查看软件版本。
2、确认是否存在弱口令。
■ 漏洞修复
升级到最新版:https://github.com/mongo-express/mongo-express
■ 临时修复
1、在config.js文件中配置强口令,设置受信任的访问源。
■ 漏洞详情
https://mp.weixin.qq.com/s/vT_Fr1Nb2TK7waG5usSHrQ